


wizardforcel 





网 络 基 本 功 系列 


E ak 


sd 
qu 
m 
过 


: 细 说 ICMP 和 ARP 


x 
qu 
m 
Ne 


: 细 说 HTTP (上 ) 


x 
qu 
m 
x 


: AX HTTP (F) 


x 
qu 
m 
Ne 


: Wireshark4f &, & 4] iz Bt TCP 4& Ie] ft 


Es 
qu 
m 
过 


) 
) 
) 
四 ) : Wireshark4& & 3: 9| Z- YT TCP € 4€ 
二 十 五 ) : Wireshark4 & 3: 4| Z- YT TCP € ZACKS $U/$ 
) 
) 
) 
) 


x 
qu 
m 
过 


x 
qu 
m 
过 


: Wireshark 抓 包 实 例 分 析 TCP 窗 口 及 reset 
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常言 道 : 欲 练 神功 ， 必 先 练 好 基本 功 。 之 前 做 了 一 个 关于 IP 路 由 ， 默 认 网 关 和 掩 码 的 问答 
贴 ， 做 完 这 个 帖子 觉得 如 果 对 网 络 知识 点 做 一 个 系统 的 益 述 ， 应 该 会 很 有 帮助 。 


本 系列 文章 着 重 于 讲解 网 络 管理 实际 应 用 中 常 第 涉及 的 重要 知识 点 ， 尽 量 以 实用 为 主 。 准 备 
写 的 几 个 章节 暂时 有 (可 能 会 有 增 减 ) 


e 网 络 传输 

e 区 换 机 

e VLAN- Trunk 

e 路 由 (上 ) 

。 路 由 (下 ) 

e 链 路 聚合 

e | 已 地 址 与 子 网 

e NAT 原 理 与 配置 

e |CMP 与 ARP 
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e HTTP( 上 ) 


e HTTP( T) 

e DNS (.E) (NEW) 

e 细 说 Linux 网 络 配置 (上 ) 
e 细 说 Linux 网 络 配置 (F) 
e 第 用 诊断 工具 : ping 
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tcpdump 83 #7 M (上 ) 
tcpdump 的 妙用 (下) 


更 多 信息 
首先 来 看 一 个 例子 : 
示例 : 网 络 服务 器 向 穴 户 端 传送 数据 的 过 程 : 


在 详细 阐述 网 络 传输 过 程 之 前 ， 先 来 看 一 个 最 第 见 的 例子 ， 下 图 显示 了 一 个 网 络 服务 器 向 窜 
户 端 传送 数据 的 完整 过 程 : 
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Web Server Web Cliant 





1\， 需 要 传送 的 数据 是 网 络 服务 器 的 HTML 页 面 。 

2\， 应 用 协议 HTTP 报 文 头 添 加 到 HTML 数 据 之 前 。 报 文 头 信息 包括 : 服务 器 所 使 用 的 HTTP 版 本 ， 以 及 表明 它 包 含 发 给 网 
3\，HTTP 应 用 层 协议 将 HTML 格 式 的 网 页 数据 发 送 给 传输 层 。TCP 传 输 层 用 于 管理 网 络 服务 器 和 客户 端 之 间 的 会 话 。 
4\，IP 信 息 添加 到 TCP 信 息 之 前 。IP 指 定 适 当 的 源 和 目的 TP 地 址 。 这 些 信 息 就 构成 了 IP 报 文 。 

5\. 以 太 网 协议 添加 到 IP 报 文 的 两 端 之 后 ， 就 形成 了 数据 链 路 帧 。 上 述 帧 发 送 至 通 向 网 络 客 户 端的 路 径 上 的 最 近 一 个 路 
6N. 数据 通过 互联 网 络 传输 ， 互 联网 络 包 含 媒介 和 中 间 设 备 。 

TN. 客户 端 接 收 到 包含 数据 的 数据 链 路 帧 ， 处 理 各 层 协 议 头 ， 之 后 以 添加 时 相反 的 顺序 移 除 协议 头 。 首 先 处 理 并 移 除 以 : 


8N. 之 后 ， 将 网 页 信息 传递 给 客户 端 网 页 浏览 器 软件 。 





数据 封装 


消息 要 在 网 络 中 传输 ， 必 须 对 它 进行 编码 ， 以 特定 的 格式 进行 封装 ， 同 时 需要 适当 地 封装 以 
足够 的 控制 和 地 址 信息 ， 以 使 它 能 够 从 发 送 方 移动 到 接收 方 。 


消息 大 


理论 上 ， 视 频 或 邮件 信息 是 能 够 以 大 块 非 中 断 型 流 从 网 络 源 地 址 传送 到 目的 地 址 ， 但 这 也 意 
味 着 同一 时 刻 同 一 网 络 其 他 设备 就 无 法 收发 消息 。 这 种 大 型 数据 流 会 造成 显著 延 时 。 并 且 ， 
如 果 传 输 过 程 中 连接 断 开 ， 整 个 数据 流 都 会 丢失 需要 全 部 重 传 。 因 此 更 好 的 方法 是 将 数据 流 
TÄ (segmentation) 为 较 小 的 ， 便 于 管理 的 片段 ， 能 够 带 来 两 点 好 处 : 


e 发 送 较 小 片段 ， 网 络 上 同时 可 有 多 个 会 话 交错 进行 。 这 种 在 网 络 上 将 不 同 会 话 片 段 交错 
进行 的 过 程 称 为 多 路 传输 (multiplexing) ° 


e 分 割 可 提高 网 络 通讯 的 可 靠 性 。 各 消息 片段 从 源 地 址 到 目的 地 址 无 需 经 过 相同 路 径 ， 如 
果 一 条 路 径 被 堵 守 或 断 开 ， 其 余 消息 可 从 替换 路 径 到 达 目 的 地 址 。 如 果 部 分 消息 到 不 了 
目的 地 址 ， 那 只 \ 需 重 传 丢 失 部 分 


通过 对 片段 打上 标签 的 方式 来 保证 顺序 以 及 在 接收 时 重组 。 


Communicating the Message 


Multiple pieces are labeled for easy 
direction and re-assembly. 





协议 数据 单元 (Protocol Data Unit, PDU ) 
层 数 据 在 传输 过 程 中 沿 着 协议 栈 传递 ， 每 一 层 协 议 都 会 向 其 中 添加 信息 。 这 就 是 封装 的 
过 程 。 


数据 片段 在 各 层 网 络 结构 中 采用 的 形式 就 称 为 协议 数据 单元 (PDU) 。 封 装 过 程 中 ， 下 一 忆 
对 从 上 一 层 收 到 的 PDU 进 行 封装 。 在 处 理 的 每 一 个 阶段 PDU 都 有 不 同 的 名 字 来 反应 它 的 功 
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PDU 按 照 TCP/IP 协 议 的 命名 规范 : 

e 数据 (Data) : 应 用 层 PDU 的 常用 术语 

e 分 段 (Segment) : 传输 层 PDU 

e tt (Frame) : 网 络 层 PDU 

e 比特 (Bits) : 在 介质 上 物理 传输 数据 所 使 用 的 PDU 。 
封装 


封装 是 指 在 传输 之 前 为 数据 添加 额外 的 协议 头 信 息 的 过 程 。 在 绝 大 多 数 数据 通信 过 程 中 ， 源 
数据 在 传输 前 都 会 封装 以 数 层 协议 。 在 网 络 上 发 送 消 息 时 ， 主 机 上 的 协议 栈 从 上 至 下 进行 操 
作 。 


以 网 络 服 务 器 为 例 ，HTTP 应 用 层 协议 发 送 HTML 格 式 网 页 数据 到 传输 层 ， 应 用 层 数 据 被 分 成 
TCP 分 段 。 各 TCP 分 段 被 打上 标签 ， 称 为 头 (header) ， 表 明 接 收 方 哪 一 个 进程 应 当 接收 此 
消息 。 同 时 也 包含 使 得 接收 方 能 够 按照 原 有 的 格式 来 重组 数据 的 信息 。 


传输 层 将 网 页 HTML 数 据 封装 成 分 段 并 发 送 至 网 络 层 ， 执 行 I|P 层 协议 。 整 个 TCP 分 段 封 装 成 |P 
报 文 ， 也 就 是 再 添上 IP 头 标签 。IP 头 包括 源 和 目的 IP 地 址 ， 以 及 发 送 报 文 到 目的 地 址 所 必须 的 
= AL o 
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之 后 ，|P 报 文 发 送 到 接 入 层 ， 封 装 以 帧 头 和 帧 尾 。 每 个 帧 头 都 包含 源 和 目的 物理 地 址 。 物 理 
地 址 唯一 指定 了 本 地 网 络 上 的 设备 。 帧 尾 包 含 差错 校正 信息 。 最 后 ， 由 服务 器 网 卡 将 比特 编 
码 传 输 给 介质 。 


解 封 装 


接收 主机 以 相反 的 方式 进行 操作 称 为 解 封装 。 解 封装 是 接收 设备 移 除 一 层 或 多 层 协 议 头 的 过 
程 。 数 据 在 协议 栈 中 向 上 移动 直到 终端 应 用 层 伴 随 着 解 封装 。 


访问 本 地 资源 : 


访问 本 地 网 络 资源 需要 两 种 类 型 的 地 址 : 网 络 层 地 址 和 数据 链 路 层 地 址 。 网 络 层 和 数据 链 路 
层 负责 将 数据 从 发 送 设备 传输 至 接收 设备 。 两 层 协 议 都 有 源 和 目的 地 址 ， 但 两 种 地 址 的 目的 
不 同 。 


示例 : 客户 端 PC1 与 FTP 在 同一 IP 网 络 的 通信 


Communicating with a Device on the Same Network 


Data Link Network Layer 


a Ethernet Frame Header "E IP Packet Header a 
: Data 


CC-CC-CC-CC- | AA-AA-AA-AA- Network * Host Network * Host 
CC-CC AA-AAA 182.188.1.: 110 182.168.1. ; g 


PC1 
192.168.1.110 
AA-AA-AA-AB-AA-AA 


FIP Server 
197,1668.1.9 
CO-CC-CC-CC-CC-CC 





网 络 地 址 


网 络 层 地 址 或 IP 地 址 包含 两 个 部 分 : 网 络 前 级 和 主机 。 路 由 器 使 用 网 络 前 级 部 分 将 报 文 转发 
给 适当 的 网 络 。 最 后 一 个 路 由 器 使 用 主机 部 分 将 报 文 发 送 给 目标 设备 。 同 一 本 地 网 络 中 ， 网 
络 前 级 部 分 是 相同 的 ， 只 有 主机 设备 地 址 部 分 不 同 。 


源 IP 地 址 : 发 送 设备 ， 即 客户 端 PC1 的 IP 地 址 : 192.168.1.110 
目的 I|P 地 址 : 接收 设备 ， 即 FTP 服 务 颈 : 192.168.1.9 
数据 链 路 地 址 


数据 链 路 地 址 的 目的 是 在 同一 网 络 中 将 数据 链 路 帧 从 一 个 网 络 接口 发 送 至 另 一 个 网 络 接口 。 
尺 太 网 LAN 和 无 线 网 LAN 是 两 种 不 同 物理 介质 的 网 络 示 例 ， 分 别 有 自 己 的 数据 链 路 协议 。 


当 IP 报 文 的 发 送 方 和 接收 方位 于 同一 网 络 ， 数 据 链 路 帧 直接 发 送 到 接收 设备 。 以 太 网 上 数据 
链 路 地 址 就 是 以 太 网 MAC 地 址 。 MAC 地 址 是 物理 植 入 网 卡 的 48 比 特地 址 。 


源 MAC 地 址 : 发 送 IP 报 文 的 PC1 以 太 网 卡 MAC 地 址 > AA-AA-AA-AA-AA-AA ° 


目的 MAC 地 址 : 当 发 送 设备 与 接收 设备 位 于 同一 网 络 ， 即 为 接收 设备 的 数据 链 路 地 址 。 本 例 
P? > FTP MAC 地 址 : CC-CC-CC-CC-CC-CC ° 


源 和 目的 MAC 地 址 添加 到 以 太 网 帧 中 。 


Network Addresses and Data Link Addresses 
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址 : 比如 域名 系统 (Domain Name System, DNS) ， 或 通过 应 用 手动 输入 ， 如 用 户 指定 FTP 
地 址 。 


以 太 网 MAC 地 址 是 怎么 识别 的 呢 ?发 送 方 主 机 使 用 地 址 解析 协议 (Address Resolution 
Protocol, ARP) 以 检测 本 地 网 络 的 所 有 MAC 地 址 。 如 下 图 所 示 ， 发 送 主机 在 整个 LAN 发 送 
ARP 请 求 消息 ， 这 是 一 条 广播 消息 。ARP 请 求 包 含 目标 设备 的 |P 地 址 ，LAN 上 的 每 一 个 设备 
都 会 检查 该 ARP 请 求 ， 看 看 是 否 包 含 它 自身 的 IP 地 址 。 只 有 符合 该 IP 地 址 的 设备 才 会 发 送 
ARP 响 应 。ARP 响 应 包含 ARP 请 求 中 IP 地 址 相对 应 的 MAC 地 址 。 


10.10.0.1 10.10.0.2 10.10.0.3 10.10.0.4 
00-0d-88-c7-9a-24 00-08-a3-b6-ce-04 00-0d-56-09-fb-d1 ^ 00-12-3l-d4-6d-1d 
FFFF.FFFF.FFFF FFFF.FFFF.FFFF FFFF.FFFF.FFFF FFFFFFFF FFFF 
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address is — - 

10.10.0.3, | 

please tell -一 -一 
10.10.0.0 * 10.10.0.254 






| am 10.10.0.3. 
| My MAC address is 
00-0d-56-09-fb-d1. 


(D0-0d-88-c7-8a-24). 00-10-7b-e7-fa-ef 


FFFF.FFFF.FFFF 
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访问 远程 资源 : 
默认 网 关 


当主 机 发 送 消息 到 远 端 网 络 ， 必 须 使 用 路 由 器 ， 也 称 为 默认 网 关 。 上 默认 网 关 就 是 位 于 发 送 主 
机 同一 网 络 上 的 路 由 器 的 接口 IP 地 址 。 有 一 点 很 重要 : 本 地 网 络 上 的 所 有 主机 都 能 够 配置 自 
己 的 默认 网 关 地 址 。 如 果 该 主机 的 TCP/JIP 设 置 中 没有 配置 默认 网 关 地 址 ， 或 指定 了 错误 的 默 
认 网 关 地 址 ， 则 远 端 网 络 消 息 无 法 被 送 达 。 

如 下 图 所 示 ，LAN 上 的 主机 PC 1 使 用 IP 地址 为 192.168.1.1 的 RR1 作 为 默认 网 关 ， 如 果 PDU 的 目 
的 地 址 位 于 另 一 个 网 络 ， 则 主机 将 PDU 发 送 至 路 由 器 上 的 默认 网 关 。 


Getting the Pieces to the Correct Network 


-—— Protocol Data Unit (PDU) ST 


Network Device Network Device Data 
192.168.1 110 172.16.1 99 





My default gateway is | am the default 
182.168.1.1. gateway for this LAN. 


PC 1A R4 Web Server 
182. 1BB.1.110 ALES 172.18.1.09 
PAA-AR-AR-AR-AA-AA 11-11-11-11-11-11 
Pc2 2 
102.168.1.111 MEIN 

BB-BB-BB-BB-BB-BB weg 

FIP Server 

182.1BB.1.8 

CC-CC-CC-CC-CC-CC 





下 图 显示 了 客户 端 主机 PC 1 与 远 端 I|P 网 络 服务 器 进行 通讯 的 网 络 层 地 址 与 数据 链 路 层 地 址 : 


Communicating with a Device on a Remote Network 


Data Link Network Layer 


E Ethernet Frame Header "E IP Packet Header (| 
Data 


11-11-11-11- AA-AA-AA-AA- Network + Device | Network : Device 
11-11 AA-AAA 182.168.1.5 110 172.18.1. 3 g9 


R1 RZ Web Server 
182.158,1.110 182.158.1.1 172.165.1.88 172.15.1.88 
BAN PN PACBA-BA- RA, 11-11-11-11-11-11 22-22-22-22-22-22 ^ AB-GD-EF-12-34-55 





网 络 地 址 

当 报 文 的 发 送 方 与 接收 方位 于 不 同 网 络 ， 源 和 目的 IP 地 址 将 会 代表 不 同 网络 上 的 主机 。 
源 IP 地 址 : 发 送 设 备 即 客户 端 主机 PC 1 的 IP 地 址 : 192.168.1.110 。 

目的 IP 地 址 : 接收 设备 即 网 络 服务 器 的 IP 地 址 : 172.16.1.99。 

数据 链 路 地 址 


当 报 文 的 发 送 方 与 接收 方位 于 不 同 网 络 ， 以 太 网 数据 链 路 帧 无 法 直接 被 发 送 到 目的 主机 。 以 
大 网 帆 必 须 先 发 送 给 路 由 器 或 默认 网 关 。 本 例 中 ， 上 默认 网 关 是 R1，R1 的 接口 IP 地 址 与 PC 1 
于 同一 网 络 ， 因 此 PC 1 能 够 直接 达到 路 由 器 


源 MAC 地 址 : 发 送 设备 即 PC 1 的 MAC 地 址 ，PC1 的 以 太 网 接口 MAC 地 址 为 : AA-AA-AA-AA- 
AA-AA ° 


目的 MAC 地 址 : 2: 4R SC 8 A 3X Zr 5 dE CZ dr T A EA R-TABHERRAUMAWUR 
网 MAC 地 址 。 本 例 中 ， 即 R1 的 以 太 网 接口 MAC 地 址 ， 即 : 11-11-11-11-11-11 © 


IP 报 文 封装 成 的 以 太 网 帧 先 被 传输 至 R1，R1 再 转发 给 目的 地 址 即 网 络 服务 器 。R1 可 以 转发 给 
另 一 个 路 由 器 ， 如 果 目 的 服务 器 所 在 网 路 连接 至 R1， 则 直接 发 送 给 服务 器 。 


aa 何 确定 路 由 器 的 iain ? 每 一 个 设备 通过 自己 的 TCP/IP 设 置 中 的 默认 网 关 地 址 
得 知 路 由 器 的 IP 地 址 。 之 后 ， 它 通过 ARP 来 得 知 默认 网 关 的 MAC 地 址 ， 该 MAC 地 址 随后 添加 
到 帧 中 。 


MAR AD (=) : 细 说 交换 机 
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i 绍 交换 机 的 帧 转发 技术 ，MAC 地 址 表 的 维护 方式 ， 三 种 帧 转发 模式 ， 以 及 冲突 域 和 广 


by Ae AR 
网 络 及 电信 中 的 交换 概念 


尺 太 网 上 的 帧 包含 源 MAC 地 址 与 目的 MAC 地 址 。 交 换 机 从 源 设 备 接收 到 帧 并 快速 发 往 目 的 地 
址 。 交 换 的 基本 概念 指 基 于 以 下 两 条 准则 做 出 决策 的 设备 : 


e 进入 (ingress) 端口 
e 目的 地 址 


术语 ingress 用 于 描述 帧 通过 特定 端口 进入 设备 ，egress 用 于 描述 设备 通过 特定 端口 离开 设 
备 。 交 换 机 做 出 转发 决定 的 时 候 ， 是 基于 进入 端口 以 及 消息 的 目的 地 址 的 。 


LAN 交 换 机 维护 一 张 表 ， 通 过 这 张 表决 是 如 何 转发 数据 流 。LAN 交 换 机 唯一 智能 部 分 是 利用 这 
张 表 基于 消息 的 进入 端口 和 目的 地 址 来 转发 。 一 个 LAN 交 换 机 中 只 有 一 张 定义 了 地 址 和 端口 
的 主 交 换 表 i 因此 ， 无 论 进入 端口 如 何 ， 同 一 目的 地 址 的 消息 永远 从 同一 出 口 离开 。 


MAC 地 址 表 的 动态 更 新 


一 个 交换 机 要 知道 使 用 哪 一 个 端口 传送 帧 ， 首 先 必 须 学 习 各 端口 有 哪些 设备 。 随 着 交换 机 学 
习 到 端口 与 设备 的 关系 ， 它 建立 起 一 张 MAC 地 址 表 ， 或 内 容 可 寻 址 寄存 表 (CAM) 。CAM 是 
一 种 应 用 于 高 速 查找 应 用 的 特定 类 型 的 memory。 交 换 机 将 连接 到 它 的 端 PUR eG ae 
记录 到 MAC 表 中 ， 然 后 利用 表 中 信息 将 帧 发 送 至 输出 端口 设备 ， 该 端口 已 指定 给 该 设备 。 


记 住 交换 机 操作 模式 的 一 名 简单 的 话 是 : 交换 机 学 习 “ 源 地 址 ?”， 基 于 “目的 地 址 ?转发 。 帧 进 
入 交换 机 时 ， 交 换 机 学习? 接收 帧 的 源 MAC 地 址 ， 并 将 此 地 址 添加 到 MAC 地 址 表 中 ， 或 刷新 
已 存在 的 MAC 地 址 表 项 的 老化 寄存 器 ; 后 续 报 文 如 果 去 往 该 MAC 地 址 ， 则 可 以 根据 此 表 项 转 
发 。 帧 转发 时 ， 交 换 机 检查 目的 MAC 地 址 并 与 MAC 地 址 表 中 地 址 进行 比较 。 如 果 地 址 在 表 


中 ， 则 转发 至 表 中 与 MAC 地 址 相对 应 的 端口 。 如 果 没 有 在 表 中 找到 目的 MAC 地 址 ， 交 换 机 会 
转发 到 除了 进入 端口 以 外 的 所 有 端口 泛 洪 (flooding) 。 有 多 个 互 连 交 换 机 的 网 络 中 ，MAC 地 
址 表 对 于 一 个 连接 至 其 他 交换 机 的 端口 记录 多 个 MAC 地 址 。 


以 下 步骤 描述 了 更 新 MAC 地 址 表 的 方法 : 


1. 交换 机 在 port 1 接收 到 来 目 PC 1 的 帧 。 





2. 交换 机 检查 源 MAC 地 址 并 与 MAC 地 址 表 相 比较 。 


e 如 果 地 址 不 在 表 中 ， 则 交换 机 在 MAC 地 址 表 中 将 PC 1 的 源 MAC 地 址 关联 到 进入 端口 
(port 1) » 


MAC Table: 
Port 1: MAC PC1 
Port 2: Empty 
Port 3: Empty 





e 如 果 已 经 存在 该 源 地 址 的 MAC 地 址 表 项 ， 则 交换 机 重 置 老 化 计时 器 。 通 党 一 个 表 项 会 保 
持 5 分 钟 。 


3. 交换 机 记录 源 地 址 信息 之 后 ， 检 查 目 的 地 址 


e 如 果 目 的 MAC 地 址 不 在 表 项 中 或 如 果 它 是 一 个 广播 MAC 地 址 ， 则 交换 机 把 该 帧 泛 洪 


网 络 基 本 功 系列 


(flood) 至 除了 进入 端口 以 外 的 所 有 端口 。 


MAC Table: 
Port 1: MAC PC1 
Port 2: Empty 
Port 3: Empty 


4. 目标 设备 (PC 3) 返回 目的 地 址 为 PC 1 的 单 播 帧 。 


MAC Table: 
Port 1: MAC PC1 
Port 2: Empty 
Port 3: Empty 


5. 交换 机 地 址 表 中 输入 PC 3 的 源 MAC 地 址 以 及 进入 端 
地 址 及 关联 的 输出 端口 。 


网 络 基 本 功 (二 ) : 细 说 交换 机 








口 的 端口 号 。 在 表 项 中 找到 该 帧 的 目的 
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MAC Table: 
Port 1: MAC PC1 
Port 2: Empty 
Port 3: MAC PCS 





6. 交换 机 现在 可 以 在 源 和 目标 设备 之 间 传 送 帧 而 无 需 泛 洪 ， 因 为 地 址 表 中 已 有 指定 关联 端口 
的 表 项 。 


MAC Table: 
Port 1: MAC PC1 
Port 2: Empty 
Port 3: MAC PC3 





交换 机 转发 方式 : 


存储 转发 交换 (Store-and-Forward) 


运行 在 存储 转发 模式 下 的 交换 机 在 发 送信 息 前 要 把 整 帧 数据 读 入 内 存 并 检查 其 正确 性 。 尽 管 
采用 这 种 方式 比 和 采用 直通 方式 更 花 时 间 ， 但 采用 这 种 方式 可 以 存储 转发 数据 ， 从 而 保证 其 准 
确 性 。 由 于 运行 在 存储 转发 模式 下 的 交换 机 不 传播 错误 数据 ， 因 而 更 适合 大 型 局 域 网 。 存 储 
转发 模式 有 两 大 主要 特征 区 别 于 直通 转发 模式 : 


ETE: 


网 络 基本 功 (=) : 细 说 交换 机 16 


使 用 存储 转发 技术 的 交换 机 对 进入 帧 进行 差错 控制 。 在 进入 端口 接收 完整 一 帧 之 后 ， 交 换 机 
将 数据 报 最 后 一 个 字段 的 帧 校 验 序列 (frame check sequence, FCS) 与 自己 的 FCS 进 行 比 
较 。FCS 校 验 过 程 用 以 帮助 确保 帧 没有 物理 及 数据 链 路 错误 ， 如 果 该 帧 校 验 正 确 ， 则 交换 机 
ie Ro Ail > KF © 


Transport 
Header 


FCS 
Checksum 
(CRC) 


Store-and-forward switching entails receipt of the entire frame (up to about 9,200 bytes 
for jumbo frames) before a forwarding decision is made. 





自动 缓存 : 


存储 转发 交换 机 通过 进入 端口 缓存 ， 支 持 不 同 速 卒 以 太 网 的 混合 连接 。 例 如 ， 接 收 到 一 个 以 
1Gb/s 速 座 发 出 的 帆 ， 转 发 至 百 兆 以 太 网 端口 ， 就 需要 使 用 存储 转发 方式 。 当 进入 与 输出 端口 
速率 不 匹配 时 ， 交 换 机 将 整 帧 内 容 放 入 缓存 中 ， 计 算 FCS 校 验 ， 转 发 至 输出 缓存 之 后 将 帧 发 
出 Oo 

Cisco 的 主要 交换 方式 是 存储 转发 交换 。 


直通 交换 (Cut-Through) 


直通 交换 的 一 个 优势 是 比 存储 转发 技术 更 为 快速 。 采 用 直通 模式 的 交换 机 会 在 接收 完整 个 数 
据 包 之 WWRRMA ERREARIUTIAU DM OT MAR 数据 的 完整 
性 。 这 种 交换 方式 有 两 大 特点 : 快速 帧 转发 以 及 无 效 帧 处 理 。 

快速 帧 转发 : 


如 下 图 所 示 ， 一 旦 交换 机 在 MAC 地 址 表 中 查找 到 目的 MAC 地 址 ， 就 立刻 做 出 转发 决定 。 而 无 
需 等 待 帧 的 剩余 部 分 进入 端口 再 做 出 转发 决定 。 


Frame Network Transport 
Header Header Header 


FCS 
Checksum 
(CRC) 











Frames can begin to be forwarded as soon as the Destination MAC is received. 


使 用 直通 方式 的 交换 机 能 够 快速 决定 是 否 有 必要 检查 帧 头 的 更 多 部 分 ， 以 针对 额外 的 过 滤 目 
的 。 例 如 ， 交 换 机 可 以 检查 前 14 个 字 节 〈 源 MAC 地 址 ， 目 的 MAC， 以 太 网 类 型 字段 ) ， 以 及 
对 之 后 的 40 衬 节 进 行 检查 ， 以 实现 IPv4 三 层 和 四 层 相 关 功 能 。 


FE xx Ab FE : 
对 于 大 多 数 无 效 帧 ， 直 通 方式 交换 机 并 不 将 其 丢弃 。 错 误 帧 被 转发 至 其 他 网 段 。 如 果 网 络 中 


出 现 高 差错 率 (无 效 帧 ) ， 直 通 交换 可 能 会 对 带宽 造成 不 利 影响 ， 损 坏 以 及 无 效 帧 会 造成 带 
宽 拥 塞 。 在 拥塞 情况 下 ， 这 种 交换 机 必须 像 存储 转发 交换 机 那样 缓存 。 


无 碎片 转发 (Fragment Free) 
无 碎片 转发 是 直通 方式 的 一 种 改进 模式 。 交 换 机 转发 之 前 检查 帧 是 否 大 于 64 字 节 (小 于 则 丢 


弃 ) ， 以 保证 没有 碎片 帧 。 无 碎片 方式 比 直通 方式 拥有 更 好 的 差错 检测 ， 而 实际 上 没有 增加 
延 时 。 它 比较 适合 于 高 性 能 计算 应 用 ， 即 进程 到 进程 延 时 小 于 10 宫 秒 的 应 用 场景 。 


交换 机 域 : 


交换 机 比较 容 多 混 消 的 两 个 术语 是 冲突 域 和 广播 域 。 这 一 段 讲 述 这 两 个 影响 LAN 性 能 的 重要 
概念 。 


冲突 域 


设备 间 共 至 同一 网 段 称 为 冲突 域 。 因 为 该 网 段 内 两 个 以 上 设备 同时 尝试 通讯 时 ， 可 能 发 生 冲 
突 。 使 用 工作 在 数据 链 路 层 的 交换 机 可 将 各 个 网 段 的 冲突 域 隔离 ， 并 减少 竞争 带宽 的 设备 数 
量 。 交 换 机 的 每 一 个 端口 就 是 一 个 新 的 网 段 ， 因 为 插入 端口 的 设备 之 问 无 需 竞 争 。 结 果 是 每 
一 个 端口 都 代表 一 个 新 的 冲突 域 。 网 段 上 的 设备 可 以 使 用 更 多 带宽 ， 冲 突 域内 的 冲突 不 会 影 
响 到 其 他 网 段 ， 这 也 成 为 微 网 段 。 


如 下 图 所 示 ， 每 一 个 交换 机 端口 连接 到 一 台 主 机 ， 每 一 个 交换 机 端口 代表 一 个 隔离 的 冲突 
域 。 


Collision Domain 1 Broadcast Domain 


Collision Domain 2 


Collision Domain 3 





广播 域 


尽管 交换 机 按照 MAC 地 址 过 滤 大 多 数 帧 ， 它 们 并 不 能 过 滤 广 播 帧 。LAN 上 的 交换 机 接收 到 广 
播 a5 ? 必须 对 所 有 端口 泛 洪 。 互 连 的 交换 机 集合 形成 了 一 个 广播 域 i 网 络 层 设备 如 路 由 
器 ， 可 隔离 二 层 广播 域 。 路 由 器 可 同时 隔离 冲突 和 广播 域 。 


当 设 备 发 出 二 层 广播 包 ， 帧 中 的 目的 MAC 地 址 被 设置 为 全 二 进 制 数 ， 广 播 域 中 的 所 有 设备 都 
会 接收 到 该 帧 。 二 层 广播 域 也 称 为 MAC 广 播 域 。MAC 广 播 域 包含 LAN 上 上 所 有 接收 到 广播 帧 的 
设备 。 广 播 通 信 上 比较 乡 时 ， 可 能 会 带 来 广播 风暴 。 特 别 是 在 包含 不 同 速 率 的 网 段 ， 高 速 网 段 
产生 的 广播 流量 可 能 导致 低速 网 段 严 重 拥挤 ， 乃 至 关 演 。 


网 络 基 本 功 (=) : 细 说 VLAN 与 Trunk 


转载 请 在 文 首 保留 原文 出 处 : EMC 中 文 支持 论坛 https://community.emc.com/go/chinese 
有 TSE 





网 络 性 能 是 影响 业务 效率 的 一 个 重要 因素 。 将 大 型 广播 域 分 段 是 提高 网 络 性 能 的 方法 之 一 。 
路 由 器 能 够 将 广播 包 阻 隔 在 一 个 接口 上 上， 但是， 路 由 器 pele Ngee ae ADI ， 它 的 主要 功能 

是 在 网 络 间 传输 数据 ， We en 网 络 接 和 入。 访问 LAN 的 功能 还 是 由 接 入 层 交 换 
机 来 实现 。 与 三 层 交 换 机 相 类 似 ， ies 交换 机 上 创建 VLAN 来 减少 广播 域 。 现 代 交 换 机 
就 是 通过 VLAN 来 构造 的 ， 因 此 在 菜 种 程度 上 ， 学 习 交 换 机 就 是 学 习 VLAN。 


更 多 信息 


问题 的 产生 : 


上 一 节 已 经 讲 过 广播 域 的 概念 : 即 广 播 帧 传播 履 盖 的 范围 。 如 下 图 所 示 ， 妆 网 络 上 的 所 有 设 
备 在 广播 域 产生 大 量 的 广播 以 及 多 播 帧 ， 就 会 与 数据 流 竞 争 带 宽 。 这 是 由 网 络 管理 数据 流 组 
成 ， 如 : ARP，DHCP，STP 等 。 如 下 图 所 示 ， 假 设 PC 1 产生 ARP，Windows 登 录 ， DHCP 
GG: 
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ngewe EDM HE BLAH Y 点 直至 路 由 器 。 随 着 网 络 节点 增 
加 ， 开 销 的 总 数 也 在 增长 ， aa 响 交 换 机 性 能 。 通 过 实施 VLAN 断 开 广 播 域 将 数据 流 隔 离开 


来 ， 能 够 解决 这 一 问题 。 


什么 是 VLAN : 


VLAN (virtual local area network) 是 一 组 与 位 置 无 关 的 逻辑 端口 。VLAN 就 相当 于 一 个 独立 
的 三 层 网 络 。VLAN 的 成 员 无 需 局 限于 同一 交换 机 的 顺序 或 偶数 端口 。 下 图 显示 了 一 个 第 规 的 
部 署 ， 左 边 这 张 图 节点 连接 到 交换 机 ， 交 换 机 连接 到 路 由 器 。 所 有 的 节点 都 位 于 同一 |P 网 
络 ， 因 为 他 们 都 连接 到 路 由 器 同一 接口 。 






”Router 


VLAN 1 





图 中 没有 显示 的 是 ， 缺 省 情况 下 ， 所 有 节点 实际 上 都 是 同一 VLAN 。 因 此 ， 这 种 托 扑 接口 可 看 
作 是 基于 同一 VLAN 的 ， 如 上 面 右 图 所 示 。 例 如 ，Cisco 设 备 默 认 VLAN 是 VLAN 1 » 也 称 为 管 
理 VLAN。 上 默认 配置 下 包含 所 有 的 端口 ， 体 现在 源 地 址 表 (source address table » SAT) 中 。 
该 表 用 于 交换 机 按照 目的 MAC 地 址 将 帧 转发 至 合适 的 二 层 端 口 。 引 入 VLAN 之 后 ， 源 地 址 表 按 
照 VLAN 将 端口 与 MAC 地 址 相对 应 起 来 ， 从 而 使 得 交换 机 能 够 做 出 更 多 高 级 转发 决策 。 下 图 显 
示 了 show mac address table 和 show vlan 命 令 的 显示 输出 。 所 有 端口 (FA0/1 一 FA0/24) 都 
在 VLAN 1。 





另 一 种 第 用 的 拓扑 结构 是 两 个 交换 机 被 一 个 路 由 器 分 离开 来 ， idein o 这 种 情况 下 ， 每 
台 交 换 机 各 连接 一 组 节点 。 每 个 交换 机 上 的 各 节点 共享 一 个 I|P 地 址 域 ， 这 里 有 两 个 网 段 : 
192.168.1.0 和 192.168.2.0。 
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Router P 
Switch 2 
VLAN 1- 
PCI SS <> BLS peas 
192.168.1.1 192.168.1.2 192.168.2.1 192.168.2.2 


注意 到 两 台 交 换 机 的 VLAN 相 同 。 非 本 地 网 络 数据 流 必须 经 过 路 由 器 转发 。 路 由 器 不 会 转发 二 
层 单 播 ， 多 播 以 及 广播 帧 。 这 种 拓扑 逻辑 在 两 个 地 方 类 似 于 多 VLAN : 同一 VLAN 下 的 节点 共 
享 一 个 通用 地 址 域 ， 非 本 地 数据 流 (对 应 多 VLAN 情 况 不 同 VLAN 的 节点 ) 需 通过 路 由 器 转 
发 。 在 一 台 交 换 机 上 添加 一 个 VLAN， 去 掉 另 一 台 交 换 机 的 话 ， 结 构 如 下 所 示 : 


Router 







]192.168.2.254 


192.168.1.1 


192.168.1.2 192.168.2.1 


每 一 个 VLAN 相 当 于 一 个 独立 的 三 层 |P 网 络 ， 因此，192.168.1.0 上 的 节点 试图 与 192.168.2.0 
上 的 节点 通信 时 ， 不 同 VLAN 通 信 必 须 通过 路 由 器， 即使 所 有 设备 都 连接 到 同一 交换 机 。 二 层 
单 播 ， 多 播 和 广播 数据 只 会 在 同一 VLAN 内 转发 及 泛 洪 ， 因 此 VLAN 1 产生 的 数据 不 会 为 VLAN 


2 节点 所 见 。 只 有 交换 机 能 看 得 到 VLAN ， 节 点 和 路 由 器 都 感觉 不 到 VLAN 的 存在 。 添 加 了 路 由 
决策 之 后 ， 可 以 利用 3 层 的 功能 来 实现 更 多 的 安全 设 定 ， 更 多 流量 以 及 负载 均衡 。 


VLAN 的 作用 : 


安全 性 : 每 一 个 分 组 的 敏感 数据 需要 与 网 络 其 他 部 分 隔离 开 ， 减 少 保密 信息 遣 到 破坏 的 可 能 
性 。 如 下 图 所 示 ，VLAN 10 上 的 教 职 工 主机 完全 与 学 生 和 访客 数据 隔离 。 


Faculty = Faculty 
VLAN 10 iix 2 28 VLAN 10 
172.17.10.21/24 | FO Foe 172.17.10.24/24 


Student fl mith — BRI — = Student 
VLAN 20 Rz 2 rrr q4 M VLAN 20 
172.17.20.22/24 | Á, ; 172.17.20.25/24 


Guest | * Guest 
VLAN 30 Wie 4*5 VLAN 30 
172.17.30.23/24 172.17.30.26/24 





节约 成 本 : 无 需 兄 贵 的 网 络 升 级 ， 并 且 带 宽 及 上 行 链 路 利用 率 更 加 有 效 。 


提高 : 将 二 层 网 络 划 分 成 乡 个 逻辑 工作 组 (广播 域 ) 减少 网 络 间 不 必要 的 数据 流 并 提升 


缩小 广播 域 : 减少 一 个 广播 域 上 的 设备 数量 。 如 上 图 所 示 : 网 络 上 有 六 台 主 机 但 有 三 个 广播 
域 : 教 职 工 ， 学 生 ， 访 客 。 


提升 IT 管理 效率 : 网 络 需 求 相 似 的 用 户 共 享 同 一 VLAN， 从 而 网 络 管 理 更 为 简单 。 当 添加 一 个 
新 的 交换 机 ， 在 指定 端口 VLAN 时 ， 所 有 策略 和 步骤 已 配置 好 。 


简化 项 目 和 应 用 管理 : VLAN 将 用 户 和 网 络 设备 汇集 起 来 ， 以 支持 不 同 的 业务 或 地 理 位 置 需 
来 。 


每 一 个 VLAN 对 应 于 一 个 IP 网 络 ， 因 此 ， 部 署 VLAN 的 时 候 必须 结合 考虑 网 络 地 址 层级 的 实现 
情况 。 


交换 机 问 VLAN : 


多 交换 机 的 情况 下 ，VLAN 是 怎么 工作 的 呢 ? 下 图 所 示 的 这 种 情况 ， 两 个 交换 机 VLAN 相 同 ， 
都 是 默认 VLAN 1， 即 两 个 交换 机 之 间 的 联系 同 在 VLAN 1 之 内 。 路 由 器 是 所 有 节点 的 出 口 。 


这 时 单 播 ， 多 播 和 广播 数据 自由 传输 ， 所 有 节点 属于 同一 |P 地 址 。 这 时 节点 之 间 的 通信 不 会 
有 问题 ， 因 为 交换 机 的 SAT 显 示 它 们 在 同一 VLAN © 





= DD Router 
= 192.168.1.254 





PC1 e 1a pC2 to 
192.168.1.1 192.168.1.2 192.168.1.3. 192.168.1.4 
而 下 面 这 种 连接 方式 就 会 有 问题 。 由 于 VLAN 在 连接 端口 的 主机 之 间 创 建 了 三 层 边 界 ， 它 们 将 
无 法 通信 。 






~~ D Router 
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192.168.1.1 : 192.168.1.2 192.168.1. 3 192. 168.1 A 
仔细 看 上 图 ， edt noe tin 
二 ， 路 由 器 在 VLAN 1, 因 此 与 所 有 节点 隔离 。 最 后 ， 两 台 交 换 机 通过 不 同 的 VLAN 互 连 。 每 一 


点 都 会 造成 通信 阻碍 ， 合 在 一 En 


交换 机 用 满 或 同一 管理 单元 物理 上 彼此 分 离 的 情形 是 很 常见 的 。 ——— € 
trunk 延 仲 至 相 令 交换 机 。trunk 能 够 连接 交换 机 ， 在 网 络 间 传 载 VYLAN 人 信息。 如 下 图 所 示 : 


| Router 
Trunk Line 192.168.1.254 a 192.168.1.254 





192.168.1.1 | 792.168.2.1 192.168.1.2. 192.168.2.2 


对 之 前 的 拓扑 的 改进 包括 : 


e PC 1 和 PC 2 分 配 到 192.168.1.0 网 段 以 及 VLAN 2。 


e PC 3 和 PC 4 分 配 到 192.168.2.0 网 段 以 及 VLAN 3 ° 
e 路 由 器 接 口 连接 到 VLAN 2 和 VLAN 3。 
e 交换 机 间 通 过 trunk 线 互 连 


注意 到 trunk 端 口 出 现在 VLAN 1， 他 们 没有 用 字母 T 来 标识 。trunk 在 任何 VLAN 都 没有 成 员 。 
现在 VLAN 跨 越 多 交换 机 ， 同 一 VLAN 下 的 节点 可 以 物理 上 位 于 任何 地 方 。 


什么 是 Trunk : 


Trunk 有 是 在 两 个 网 络 设备 之 间 承 载 多 于 一 种 VLAN 的 端 到 端的 连接 ， 将 VLAN 延 伸 至 整个 网 络 。 
没有 VLAN Trunk * VLAN. 4% 4 3E RAM ° VLAN Trunk 人 允许 VLAN 数 据 流 在 交换 机 间 传 输 ， 
所 以 设备 在 同一 VLAN ， 但 连接 到 不 同 交 换 机 ， 能 够 不 通过 路 由 器 来 进行 通信 


一 个 VLAN trunk 不 属于 某 一 特定 VLAN > 而 是 交换 机 和 路 由 器 间 多 个 VLAN 的 通道 。 如 下 图 所 
示 ， 交 换 机 S1 和 S2， 以 及 S1 和 S3 之 间 的 链 路 ， 配 置 为 传输 从 VLAN10,20,30 以 及 90 的 数据 
流 。 该 网 络 没 有 VLAN trunk 就 无 法 工作 。 


VLAN 10 Faculty/Staff - 172.17.10.0/24 
VLAN 20 Students - 172.17.20.0/24 
VLAN 30 Guest - 172.17,30.0/24 
VLAN 99 Management and Native - 
172.17.98.0/24 


Faculty 
VLAN 10 - Ba 
172.17.10.21 


Student 
VLAN 20 - 
172.17.20.22, 


| FU/1-5 are 802.10 trunk interfaces with 


native VLAN 99. 
F0/11-17 are in VLAN 10. 
F0/18-24 are in VLAM 20. 


Fü/B-10 are in VLAN 30. 


| | Faculty 
ie VLAN 10 - 


I Fog L172.17.10.24 


- Fo11 B M uu 


OT Fora 


= FO Student 
c= van 20 - 
172.17.20.25 


Guest | | VLAN trunks configured to | Guest 


VLAN 30 - Bie 


support VLAN 10, 20, 30, 
172.17.30.23 | | and VLAN 99. 





Pc VLAN 30 - 
172.17.30.26 


4 acX4HrunkZy Ze * PM A trunki f Ag ze sb v] VALE FE trunk RIF RMUAARM o 3x 4 ERE 
交换 机 端口 有 不 止 一 种 操作 模式 。 缺 省 情况 下 ， 所 有 端口 都 称 为 接 入 端口 。 当 一 个 端口 用 于 


交换 机 间 互 连 传输 VLAN 信 息 时 ， 


这 种 端口 模式 改变 为 trunk ， 节 点 也 路 由 器 通常 不 知道 VLAN 


的 存在 并 使 用 标准 以 太 网 帧 或 “ untagged” 帧 。trunk 线 能 够 使 用 “tagged” 帧 来 标记 VLAN 或 优先 


级 。 


因此 ， 在 trunk 端 口 ， 运 行 trunk 协 议 来 允许 帧 中 包含 trunk 信 息 。 


如 下 图 所 示 : 


4 - New 802.1 Frame 
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6 - Switch 2 SAT: Forward 
original Ethernet Frame 






PC 1 在 经 过 路 由 表 处 理 后 向 PC 2 发 送 数据 流 。 这 两 个 节点 在 同一 VLAN 但 不 同 交 换 机 。 步 骤 
Aw: 


e 以 太 网 帧 离开 PC 1 到 达 Switch 1 ° 


Switch 1 的 SAT 表 明 目 的 地 是 trunk 线 的 另 一 端 。 


Switch 1 使 用 trunk 协 议 在 以 太 网 帧 中 添加 VLAN id ° 


新 帧 离开 Switch 144 trunks% V 3X Switch 2 接收 。 


Switch 2 读 取 trunk id 并 解析 trunk 协 议 。 
e 源 帧 按照 Switch 2 的 SAT 转 发 至 目的 地 (端口 4) © 


VLAN tag 如 下 图 所 示 ， 包 含 类 型 域 ， 优 先 级 域 ，CFI (Canonical Format Indicator) 指示 
MAC žE > VLAN ID » 


Dst MAC | Src MAC Tag Type/Length 
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3Bits 1Bit 12Bits 





网 络 基本 功 (v) : 细 说 路 由 (E) 


转载 请 在 文 首 保 留 原文 出 处 : EMC P x X44 2Khttps://community.emc.com/go/chinese 





以 大 网 交换 机 工作 在 第 二 层 即 数据 链 路 层 ， 用 于 在 同一 ea el a 
和 目的 IP 地 址 位 于 不 同 网 络 时 ， 以 太 网 帧 必须 发 送 给 路 由 器 。 路 由 器 负责 在 不 同 网 络 问 传 输 
报 文 ， 通 过 路 由 表 来 决定 最 佳 转 发 路 径 。 当 主机 将 报 文 发 送 we 由 于 主机 无 法 
直接 与 本 地 网 络 以 外 的 设备 通信 ， 报 文 被 转发 至 ua 数据 流 从 本 地 网 络 
路 由 至 远 端 设 备 的 目的 地 。 它 通 第 用 来 连 援 本 地 网 与 公共 


更 多 信息 


报 文 转发 过 程 

路 由 器 在 一 个 接口 接收 报 文 并 将 它 从 另 一 个 接口 转发 出 去 ， 这 一 过 程 的 关键 步骤 是 为 输出 链 
路 将 报 文 封装 在 适当 的 数据 链 路 帧 中 。 路 由 器 repute i 

1. 将 第 二 层 的 帧 关 和 帧 尾 移 除 ， 解 析出 第 三 层 报 文 。 

2. 检查 |P 报 文 的 目的 IP 地 址 ， 在 路 由 表 中 查找 最 佳 路 由 。 

3. 如 果 路 由 器 找到 一 条 最 佳 路 径 ， 则 将 三 层 报 文 封装 到 新 的 二 层 巾 中 ， 并 将 帧 转发 到 输出 端 


Qo 


如 下 图 所 示 : 设备 有 三 层 IPv4 地 址 ， 以 太 网 接口 有 二 层 数据 链 路 地 址 。 例 如 PC 159IPvAX AE 
192.168.1.10， 示 例 MAC 地 址 0A-10。 在 报 文 从 原 设 备 传输 至 目的 设备 的 过 程 中 ， 三 层 IP 地 址 
不 会 改变 。 但 是 ， 每 一 跳 随 着 报 文 在 路 由 器 中 被 解 封 装 和 重新 封装 ， 二 层 数 据 链 路 地 址 都 会 
改变 。 很 可 能 报 文 被 封装 成 与 接收 时 不 同 的 另 一 种 类 型 的 二 层 帧 。 




















192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 


rs 


Fago Fai Fad/0 


| | m 
192.168.1.10 90-10 00-20 0B-31 22 192.168.4.10 
DA-10 0B-20 





RIKI: 


PC 1 发 送 报 文 给 PC 2 时 ， 首 先 必 须 确定 目的 IPv4 地 址 是 否 位 于 同一 网 络 。PC 1 通过 将 自己 的 
IPv4 地 址 与 子 网 掩 码 做 与 操作 ， 来 判断 PC 1 所 属 的 网 段 。 接 下 来 ，PC 1 对 目的 IPv4 地 址 与 PC 
1 的 子 网 掩 码 做 同样 的 与 操作 。 如 果 目 的 网 络 地 址 与 PC 1 网 络 相 同 ， 则 PC 1 不 使 用 默认 网 

关 ， 而 是 在 ARP 缓 存 中 查找 目的 I|Pv4 地 址 的 设备 MAC 地 址 。 如 果 MAC 地 址 不 在 缓存 中 ， 则 PC 
1 产生 一 个 ARP 请 求 来 获取 地 址 并 将 报 文 发 给 目的 地 址 。 如果 目 的 网 络 地 址 位 于 另 一 网 络 ， 则 
PC 1 将 报 文 转 发 至 默认 网 关 。 


要 确定 默认 网 关 的 MAC 地 址 ，PC 1 在 它 的 ARP 表 中 查找 默认 网 关 的 I|Pv4 地 址 以 及 相应 的 MAC 
地 址 。 如 果 ARP 表 中 没有 默认 网 关 的 对 应 表 项 ， 则 PC 1 发 送 ARP 请 求 。 路 由 器 RR1 回 复 ARP 响 
应 。 之 后 PC 1 将 报 文 转发 至 默认 网 关 的 MAC 地 址 ， 即 路 由 器 RR1 的 Fa0/0 接 口 。 


转发 至 下 一 跳 : 

R1 从 PC 1 接收 到 以 太 网 帧 后 执行 以 下 步骤 : 

1. R1 检 查 目 的 MAC 地 址 ， 与 接收 端口 FastEthernet 0/0 相 匹配 ， 因 此 ， 将 帧 复制 到 buffer。 
2. R1 识 别 以 太 网 类 型 为 0x800， 意 味 肴 以 太 网 帧 的 数据 部 分 包含 IPv4 报 文 。 

3. R1 解 封装 该 以 太 网 帧 。 


4. 由 于 目的 IPv4 地 址 与 R1 直 连 的 任何 网 络 都 不 相符 ，R1 在 路 由 表 中 查找 包含 该 目的 IPv4 地 址 
主机 的 网 络 地 址 。 本 例 中 ， 路 由 表 中 有 192.168.4.0/24 网 络 的 路 由 。 目 的 I|Pv4 地 址 为 
192.168.4.10， 即 该 网 络 上 的 主机 |IPv4 地 址 。 


R1 找 到 192.168.4.0/24 路 由 的 下 一 条 IPv4 地 址 为 192.168.2.2 以 及 输出 端口 FastEthernet 0/1 > 
这 意味 前 IPv4 报 文 封装 到 一 个 新 的 以 太 网 帧 中 ， 目 标 MAC 地 址 是 下 一 跳 路 由 器 的 MAC 地 址 。 


由 于 下 一 个 接口 是 在 以 太 网 上 ， 所 以 R1 必 须 用 ARP 解 析出 下 一 跳 I|Pv4 地 址 的 MAC 地 址 。 


1. R1 在 ARP cache 中 查找 下 一 跳 IPv4 地 址 192.168.2.2。 如 果 表 项 不 在 ARP cache 中 ，R1 会 从 
FastEthernet 0/1 接口 发 送 ARP 请 求 ，R2 会 返回 ARP 响 应 。R1 之 后 在 ARP cache 中 更 新 
192.168.2.2 的 MAC 地 址 。 


2. IPv4 报 文 封装 到 新 的 以 太 网 帧 中 并 从 R1 的 FastEthernet 0/1 接口 转发 出 去 。 
到 达 目 的 地 : 

当 帧 到 达 R3 时 执行 以 下 步 

1. R3 将 数据 链 路 帧 复制 到 它 的 buffer 。 

2. R3 解 封装 该 数据 链 路 帧 。 


连接 到 该 网 络 的 路 由 。 这 表示 报 文 
可 直接 发 送 到 目的 设备 而 无 需 发 送 至 路 由 器 


由 于 输出 接口 是 一 个 直 连 以 太 网 ， 所 以 R3 必 须 用 ARP 解 析出 目的 IPv4 地 址 的 MAC 地 址 。 


1. R3 在 它 的 ARP cache 中 查找 目的 |Pv4 地 址 ， 如 果 此 ARP cache 中 没有 此 表 项 ，R3 会 从 
FastEthernet 0/0 接口 发 送 ARP 请 求 。PC 2 回复 ARP 响 应 告知 它 的 MAC 地 址 。R3 之 后 在 ARP 
cache 中 更 新 192.168.4.10 的 MAC 地 址 。 


2. |Pv4 报 文 封 装 到 新 的 以 太 网 帧 中 并 从 R3 的 FastEthernet 0/0 接口 发 出 。 


3. SPC 2 接收 到 该 帧 ， 检 查 帧 的 目的 MAC 地 址 ， 与 网 卡 接收 端口 的 MAC 地 址 相 匹 配 ，PC 2 
于 是 将 帧 的 剩余 部 分 复制 到 自己 的 buffer » 


4. PC 2 识别 到 以 太 网 类 型 为 0Xx800， 也 就 是 帧 的 数据 部 分 包含 IPv4 报 文 。 
5. PC 2 解 封装 以 太 网 帧 ， 将 IPv4 报 文 传递 给 操作 系统 的 IPv4 进 程 。 
路 由 表 : 

路 由 表 存 储 的 信息 包括 


直 连 路 径 : 来 自 活动 路 由 接口 的 路 径 。 当 接口 为 活动 状态 并 配置 了 IP 地址 时 ， 路 由 器 添加 一 
条 直 连 路 径 。 


远 端 路 径 : 和 远 端 的 网 络 连 接 到 其 他 路 由 。 通 过 静态 配置 或 动态 路 由 协议 到 达 该 网 络 


in ded diu —€— 用 于 存储 直 连 以 及 远 端 网 络 的 路 由 信息 。 路 由 表 中 
含 网 络 或 下 一 跳 地 址 的 信息 。 这 些 信 息 告 知 路 由 器 可 以 通过 将 报 文 发 送 至 代表 下 一 跳 地 址 
a 器 以 最 佳 路 劲 到 达 ne 下 一 跳 信息 也 可 以 是 到 下 一 个 目的 地 的 输出 接口 。 


路 由 表 内 容 : 


Cisco IOS 路 由 器 可 用 Show IP route 合 令 显 示 IPv4 路 由 表 。 路 由 器 还 提供 一 些 额外 的 路 由 信 
站， 包括 路 径 是 怎样 学 习 到 的 ， 路 径 在 表 中 有 乡 长 时 间 ， 使 用 哪 一 接口 去 到 达 预 定义 的 目的 
地 。 


路 由 表 中 的 表 项 可 作为 以 下 内 容 添 加 : 

本 地 路 径 接 口 : 当 接 口 配 置 并 激活 时 添加 。 

直 连 接口 : 当 接 口 配 置 并 激活 时 添加 。 

静态 路 径 : 当 手 动 配置 路 径 并 且 输 出 接口 激活 时 。 

动态 路 由 协议 : 当 路 由 协议 动态 学 习 到 网 络 时 添加 ， 如 EIGRP 或 OSPF。 


路 由 表 项 的 来 源 通 过 代码 来 标识 ， 代 码 表 明 路 径 是 怎样 学 习 到 的 。 例 如 ， 第 用 代码 包括 : 


m 


: 路 由 器 接口 地 址 。 当 路 由 器 接收 到 报 文 时 发 送 至 本 地 接口 而 无 需 转发 。 
C: 直 连 网 段 。 

O : 通过 OSPF 从 另 一 个 路 由 器 动态 学 习 到 的 网 络 。 

D : 通过 EIGRP 从 另 一 个 路 由 器 动态 学 习 到 的 网 络 。 
"m 


图 显示 了 R1 的 路 由 表 : 
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192.168.10.0/24 10.1.1.0/24 
e 0/0 dem 
209.165.200.224/30 _ 
A ~ R2 
JU SO/O/0 1 
G0A 


192.168.11.0/24 10.1.2.0/24 


Pc2 CLEM -—— 


Rif show ip route 
Codes: L 一 local, C - connected, S 一 static, R - RIP, M - mobile, B - BGP 
D 一 EIGRP, EX 一 EIGRP external, 0 - OSPF, IA - OSPF inter area 























Nl - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 
El 一 OSPF external type 1, E2 一 OSPF external type 2, E - EGP 
i -IS-IS, Ll = IS-IS level-1, L2 = IS-IS level-?7, ia - 
IS-IS inter area 
t — candidate default, U — per-user static route, o — ODR 
P - periodic downloaded static route 
Gateway of last resort is not set 
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 
10.1.1.0/24 [90/2170112] via 209.165.200.226, 00:00:05, 





远 端 网 络 路 由 表 项 : 


下 图 显示 了 R1 到 远 端 网 络 10.1.1.0 的 表 项 : 
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0 192.168.10.0/24 


EU. G0/0 BEN. 
、1 209.165.200.224/30 Zop 


226 a 


(zz) - Identifies how the network was learned by the router. 

CE) - Identifies the destination network. 

| - Identifies the administrative distance (trustworthiness) of the route source. 
(es) - Identifies the metric to reach the remote network. 

(E) - Identifies the next-hop IP address to reach the remote network. 


[ - Identifies the amout of elapsed time since the network was discovered. 


E) - Identifies the outgoing interface on the router to reach the destination network. 





Route source : 路 径 是 怎样 学 习 到 的 。 
Destination network : 远 端 网 络 地 址 。 
Administrative distance : 路 由 来 源 的 可 信 度 。 较 低 值 表明 优先 选择 。 


Metric : 是 路 由 而 法 用 以 确定 到 达 目 的 地 的 最 佳 路 径 的 计量 标准 。 较 低 值 表 明 优 先 选 


wi 
Oo 


Next hop : 转发 报 文 的 下 一 个 路 由 器 的 IP 地 址 。 
Route timestamp : 自学 习 到 路 径 以 来 过 了 多 少时 间 。 
Outgoing interface : 用 以 转发 报 文 的 输出 接口 。 

直 连 路 由 表 项 : 


下 图 显示 了 R1 到 直 连 网 络 192.168.10.0 的 路 由 表 项 : 
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2 
— 64.100.0.1 
192.168.10.0/24 10.1.1.0/24 
PC1 BS ES =z 
| GO/O — 
NOl 209.165.200.224/30 


—- a 


220 
: S0/0/0 
PC2 10 aw Got 


192.168.11.0/24 


192.158.10. 0/24 is directly connected, ( igabi tEthernet0/0 
192.168.10.1/32 is directly connected, GigabitEthernet0/0 


Legend 
|. | -identifies how the network was learned by the router. 
= - Identifies the destination network and how it is connected. 
- Identifies the interface on the router connected to the destination network. 





在 一 个 接口 状态 为 Up/up 并 添加 到 IPv4 路 由 表 之 前 ， 接 口 必 须 : 
e 指定 有 效 的 |Pv4 或 IPv6 地 址 。 
e 通过 no shutdown 命 令 激 活 。 


e 从 另 一 设备 (路 由 器 ， 交 换 机 ， 主 机 等 ) 接收 到 载体 信号 。 


当 接 口 up 之 后 ， 该 接口 的 网 络 作为 直 连 网 络 添加 到 路 由 表 中 。 
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网 络 基 本 功 (Am) : 细 说 路 由 (T) 


转载 请 在 文 首 保 留 原文 出 处 : EMC 中 文 支持 论坛 https://community.emc.com/go/chinese 





eed oT Selle 


介绍 

静态 路 由 是 指 由 网 络 管理 员 手 工 配 置 的 路 由 信息 。 当 网 络 的 拓扑 结构 或 链 路 的 状态 发 生变 化 
时 ， 网 络 管理 员 E REGARDED Bo WAR h eae w A Z Al +A 
互通 信 ， 传 递 路 由 信息 ， 利 用 收 到 的 路 由 信息 更 新 路 由 表 的 过 程 。 是 基于 某 种 协议 来 实现 
的 。 本 文 详细 阐述 这 两 者 的 实现 过 程 。 


更 多 信息 
静态 路 由 : 


静态 路 由 是 指 由 网 络 管 理 员 手动 配置 在 路 由 器 上 的 表 项 。 对 于 特定 的 目标 地 址 ， 以 及 在 小 型 
或 稳定 的 网 络 环境 ， 手 动 配置 静态 路 由 可 以 非常 成 功 地 应 用 。 通 过 使 用 静态 路 由 ， 网 络 管理 
员 确 定 了 通 向 一 目标 网 络 的 路 径 。 


一 个 重要 的 概念 是 : 路 由 的 核心 在 于 下 一 跳 。 下 一 跳 是 一 个 特定 路 由 器 的 角度 来 看 ， 距 离 目 
标 地 址 更 近 一 步 bes 器 。 下 图 显示 了 一 个 中 型 路 由 拓扑 。 从 R1 的 角度 来 看 ，R2 同 时 是 到 达 
192.168.3.0 以 及 192.168.4.0 的 下 一 跳 。 

92.168.2.253 192163. 253 192.168.4.254 


1 
~ > FO/' 192.168. 255 a pr 192.168. 3. : Lm FOr 
~ FO/O e 















192.168.1. d 









wi F sw swt S wi < 
192.168.1.0 19216820 — 19216830 19216840 — 


Node A 
192.168.1.1 192.168.4.1 


n FEMINEO! 什么 都 没有 配置 boi XP RR 
只 会 包含 和 直 连 路 由 。 每 一 个 路 由 器 只 知道 它 接口 相连 的 两 个 网 络 。 下 表 显 示 了 这 一 时 刻 的 路 
由 表 。 


R1 R2 R3 


C 192. I65. 1.0 F0/0 C 192. los. 2.0 FO/0 C 192. 168. 5. 0. F0/0 
C 192. 168. 2. 0. FO/] C 192. 168. 3.0 FO/] C 192. 168. 4.0 FO/1 


AEST VUE Io x SA RB AES S] BH TUO © Hite * Node A 连接 到 Switch 1 尝试 访问 
Switch 4&7 Node B。 经 过 主机 路 由 表 处 理 后 ，A 将 数据 转发 至 R1 的 默认 网 关 

(192.168.1.254) ，R1 查 询 自己 的 路 由 表 并 发 现 没 有 目标 网 络 的 相关 信息 。 于 是 RR1 发 送 
ICMP destination unreachable 消 息 。 


这 个 问题 怎么 解决 呢 ? 像 这 样 的 小 型 网 络 ， 网 络 管理 员 可 以 在 路 由 器 输入 路 由 命 配置 额 
外 的 转发 信 息 : 


ip route destination-network destination-network-mask next-hop-IP-address (forwarding rou 


例如 ， 以 下 命令 告知 R1 怎 样 到 达 192.168.3.0 以 及 192.168.4.0 : 





ip route 192.168.3.0 255.255.255.0 192.168.2.254 
ip route 192.168.4.0 255.255.255.0 192.168.2.254 


R1 上 输入 命令 之 后 ， 路 由 表 更 新 如 下 所 示 : 


R1 R2 R3 

C 192. 168. 1. 0 F0/0 C 192. 168. 2.0 F0/O C 192. 168. 3. 0. F0/0 
C 192. 168. 2. 0. FD/1 C 192.168. 3. 0. FO/1 C 192. 168. 4.0 F0/1 

> 192. 168. 3. 0 via 192. 168. 2. 254 


nhe — a 


5 192.168. 4. 0 via 192. 168. 2. 254 


现在 R1 理 解 到 达 这 些 网 络 需要 经 过 R2， 但 是 R2 接 下 来 怎么 办 呢 ? 由 于 192.168.3.0 直 接连 接 到 
R2，R2 可 以 直接 ARP 主 机 。 但 对 于 192.168.4.0，R2 需 要 管理 员 以 下 命令 来 协助 : 


ip route 192.168.4.0 255.255.255.0 192.168.3.254 


路 由 表 相 应 更 新 : 


Rl R2 R3 

C 197. los. 1.0 FOO C 192. 168. 2.0 FO/ C 197. 168. 3. 0 
F0/0 

C 152. 168. 2. 0 F0/ 1 C 192. 168. 3.0 F0/] C 192. 168. 4. 0 
FO/] 

5 192. 168. 3.0 via 3 192. 108. 4.0 via 

192. 168. 2. 254 192. 168. 3. 254 

S 192. 168. 4.0 vi 

92. 168. 2. 254 


目前 只 成 功 了 一 半 ， 报 文 需 要 返回 。 查 看 R3 的 路 由 表 ， 发 现 路 由 器 不 知道 怎么 找到 
192.168.1.0 » Node A 的 报 文 到 达 之 后 ，Node B 尝 试 回复 ， 但 是 会 从 R3 收 到 |ICMP destination 
unreachable 的 消息 。 在 Node A 看 来 ， 好 像 传输 从 未 收 到 回复 。 要 完成 这 一 过 程 ， 需 要 在 所 有 
路 由 器 上 对 于 所 有 未 知 网 络 输入 ip route 命 令 来 更 新 路 由 表 。 


R1 R2 R3 


C 192. 168. 1. 0 F0/Q C 192.168. 2. 0 F0/0 C 192. 168. 3.0 FO/O 

C 192. 168. 2. 0 FO] C 192. 168. 3. 0. F0/] C 192. 168. 4.0 F0/] 
197. 108. 5.0 via 192. 1608. 1.0 vie 02. let 1.0 via 

192. 168. 2. 25 192. 1t ! 293 192. 168. 3. 253 

S 192. 168.4. 0 via 5 192.168. 4.0 via S 192. 168. 2. 0 via 

197. 165. Z. 294 197. 165. 3. 254 197. 1658. 3. 253 


R2:& 3E. 05 35 dd RARER E48 ^ Sip route 命 令 如 下 图 所 示 : 





动态 路 由 : 


路 由 协议 允许 路 由 器 动态 共享 远 端 网 络 的 信息 以 及 自动 将 这 信息 添加 到 自己 的 路 由 表 中 。 动 
态 路 由 协议 的 一 大 好 处 在 于 当 拓 扑 变更 时 ， 路 由 器 会 交换 路 由 信息 ， 从 而 能 够 自动 学 习 新 增 
网 络 ， 并 且 在 链 路 故障 时 ， 找 到 替换 路 径 


路 由 协议 完成 这 一 功能 的 方式 取决 于 它 所 使 用 的 存 法 以 及 此 协议 的 操作 特性 。 通 第 来 说 ， 动 
态 路 由 协议 的 执行 过 程 如 下 : 


1. 路 由 器 在 端口 发 送 和 接收 路 由 消息 。 
2. 路 由 器 与 其 他 使 用 相同 路 由 协议 的 路 由 器 共享 路 由 信息 。 
3. 路 由 器 交换 路 由 信息 来 学 习 远 端 网 络 。 
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4. 当 路 由 器 检测 到 拓扑 变化 时 ， 路 由 协议 将 这 一 变化 通知 其 他 路 由 器 。 
网 络 发 现 


例如 ，R1，R2，R3 之 间 的 拓扑 : 


50/0/1 


10.1.0.0 FaQ/0 10.2.0.0 S30/0/0 10.3.0.0 30/01 


10.2.0.0 S0/0/0 0 10.3.0.0 S0/0/1 0 10.4.0.0 FaD/Ü 





1 : 发 送 10.1.0.0 以 及 10.2.0.0 的 更 新 ; 从 R2 接 收 10.3.0.0 的 信息 ， 跳 数 加 1 ; EK d RP A 
储 10.3.0.0 的 信息 ，metric 设 为 1。 


R2 : 发 送 10.3.0.0 以 及 10.2.0.0 的 更 新 ; 从 R1 接 收 10.1.0.0 的 信息 ， 跳 数 加 1 ; 在 路 由 表 中 存 
储 10.1.0.0 的 信息 ，metric 设 为 1。 从 R3 接 收 10.4.0.0 的 信息 ， 跳 数 加 1 ; 在 路 由 表 中 存储 
10.4.0.0 的 信息 ，metric 设 为 1。 


R3 : 发 送 10.3.0.0 以 及 10.4.0.0 的 更 新 ; 从 R2 接 收 10.2.0.0 的 信息 ， 跳 数 加 1 ; 在 路 由 表 中 存 
储 10.2.0.0 的 信息 ，metric 设 为 1。 


交换 路 由 信息 


路 由 器 周期 性 的 更 新 信息 。 在 最 初 的 网 络 发 现 结束 后 ， 每 个 路 由 器 通过 发 送 和 接收 以 下 更 新 
来 继续 收敛 的 过 程 : 
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s Ei End Estes] 


10.1.0.0 Fago 0 10.2.0.0 50/0/0 10.3.0.0 50/0/1 


10.2.0.0 S0/0/0 0 10.3.0.0 30/071 10.4.0.0 FaDid 
10.3.0.0 S0/0/0 1 10.1.0.0 S0/0/0 | 10.2.0.0 30/01 


10.4.0.0 30/071 





R1 : 发 送 10.1.0.0，10.2.0.0 以 及 10.3.0.0 的 更 新 ; 从 R2 接 收 10.4.0.0 的 信息 ， 跳 数 加 1 ; 在 路 
由 表 中 存储 10.4.0.0 的 信息 ，metric 设 为 2 ; 从 R2 收 到 相同 的 10.3.0.0 的 更 新 ，metric 为 1， 不 
作 更 新 。 


R2 : 发 送 10.1.0.0，10.2.0.0，10.3.0.0 以 及 10.4.0.0 的 更 新 ; 从 R1 接 收 10.1.0.0 的 信息 ， 不 作 
更 新 ; 从 R3 接 收 10.4.0.0 的 信息 ， 不 作 更 新 。 


R3 : 发 送 10.2.0.0，10.3.0.0 以 及 10.4.0.0 的 更 新 ; 从 R2 接 收 10.1.0.0 的 信息 ， 跳 数 加 1 ; 在 路 
由 表 中 存储 10.1.0.0 的 信息 ，metric 设 为 2 ; 从 R2 收 到 相同 的 10.2.0.0 的 更 新 ，metric 为 1， 不 
作 更 新 。 


距离 矢量 路 由 协议 切断 了 邻居 路 由 之 间 的 环 路 ， 也 称 为 水 平分 割 。 水 平分 割 阻止 信息 从 同一 
端口 接收 之 后 再 发 送出 去 。 例 如 ，R2 不 会 从 Serial 0/0/0 端 口 发 送 网 络 10.1.0.0 的 信息 ， 因 为 
R2 从 Serial 0/0/0 学 习 了 10.1.0.0。 


网 络 中 的 路 由 器 收 化 了 信息 之 后 ， 路 由 器 可 以 使 用 路 由 表 来 决定 到 达 目 的 地 的 最 佳 路 径 。 
同 的 路 由 协议 有 不 同 的 计算 最 佳 路 径 的 方法 。 


BS d3 Ji óx 
当 所 有 路 由 器 对 于 整个 网 络 有 准确 的 更 新 之 后 ， 达 到 路 由 收敛 状态 ， 如 下 图 所 示 : 
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soor | 




















Network | Interface | Hop Network | Interface: Hop | Network | Interface Hop 


Fago 2.0. 50/00 2.0. 30/071 


30/0/0 10.3.0. 30/0/1 4.0.0 FaQ/0 


50/O/0 1.1.0.0 30/0/0 .2.0.0 30/07 


sooo | 2 40.0 | Soon .1.0. S0/0/1 





收敛 时 间 是 路 由 器 分 享 信息 ， 计 算 最 佳 路 径 ， 更 新 路 由 表 的 时 间 。 收 化 同时 是 协作 并 且 独 立 
的 。 路 由 器 相互 之 间 共 享 信息 但 是 必须 各 自 独 立 的 计算 自己 路 由 拓扑 改变 所 带 来 的 影响 。 由 
于 它们 各 上 自 独立 地 关于 新 的 拓扑 达成 一 致 ， 于 是 说 它们 收敛 于 这 种 一 致 。 


网 络 基 本 功 (m) : 细 说 路 由 (T) 


网 络 基 本 功 (K) : 链 路 聚合 
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链 路 聚合 是 在 两 个 设备 间 使 用 多 个 物理 链 路 创建 一 个 逻辑 链 路 的 功能 。 这 种 方式 允许 物理 链 
路 间 共 享 负载 。 交 换 机 网 络 中 使 用 的 一 种 链 路 有 聚合 的 方法 是 EtherChannel。EtherChannel 可 
以 通过 思科 的 端口 聚合 协议 (Port Aggregation Protocol, PAgP) 或 链 路 聚合 协议 (Link 
Aggregation Protocol, LACP) 来 配置 或 协商 。 


更 多 信息 
EtherChannel : 


EtherChannel 本 来 是 由 思科 开发 ， 将 若干 Fast Ethernet% Gigabit Ethernetd Zp 5, — ANZ 48-38 
道 的 交换 机 到 交换 机 的 LAN 连 接 技术 。 配 置 了 EtherChannel 之 后 的 虚拟 接口 称 为 一 个 port 
channel » 物理 接口 捆绑 在 一 起 ， 成 为 一 个 port channel interface。 思 科 最 早 称 之 为 
EtherChannel Fast EtherChannel(FEC)， 也 称 为 Gigabit EtherChannel(GEC)， 非 思科 公司 党 
将 链 路 采 合 简写 为 LAG。 


通过 EtherChannel， 一 个 逻辑 链 路 的 速度 等 于 所 有 物理 链 路 的 总 和 。 例 如 ， 如 果 你 用 4 个 100 
Mbps 的 以 大 网 链 路 创建 1 个 EtherChannel， 则 EtherChannel 的 速度 是 400 Mbps。 但 是 也 会 有 
一 些 问 题 ， 并 不 是 在 所 有 情况 下 增加 的 容量 都 确实 等 于 物理 链 路 的 速度 之 和 。 例 如 ， 四 个 1 
Gbps 链 路 组 成 的 EtherChannel， 默 认 每 一 个 会 话 的 速度 还 是 限制 在 1 Gbps ° 


默认 情况 下 EtherChannel 按 照 报 文 的 目的 MAC 地 址 ， 绘 它 指定 一 个 物理 链接 。 这 也 意味 着 
EtherChannel 上 一 个 工作 站 与 另 一 个 服务 器 通信 ， 只 会 使 用 到 一 条 物理 链 路 。 实 际 上 ， 
EtherChannel 上 上 所 有 目的 地 为 该 服务 器 的 数据 流 都 只 会 走 这 一 条 物理 链 路 。 也 就 是 说 ， 一 个 
用 户 同 一 时 刻 只 会 得 到 1 Gbps。 这 种 模式 也 可 以 更 改 为 每 一 个 报 文 在 不 同 的 物理 链 路 上 发 
送 ， 当 有 多 个 不 同 的 目的 地 址 时 ， 每 一 条 路 径 都 可 以 得 到 利用 。 


EtherChannel 创 建 的 是 一 对 一 的 关系 ， 即 一 个 EtherChannel 连 接 两 个 设备 。 可 在 两 台 交 换 机 
之 间 ， 或 在 一 个 激活 了 EtherChannel 的 服务 颈 和 一 人 台 交 换 机 之 间 创 建 一 个 EtherChannel 连 
接 。 人 但是， 同一 个 EtherChannel 连 接 无 法 将 数据 流 发 送 到 两 人 台 交 换 机 。 


EtherC hannel 





Catalyst 6500 Catalyst 2950 


EtherChannel ft 225 # : 


如 前 所 述 ，EtherChannel 默 认 情 况 下 并 不 丨 的 为 各 链 路 速度 之 和 ， 只 是 在 特定 的 链 路 发 送 特 
定 的 报 文 ， 给 人 的 感知 速度 为 所 有 链 路 的 速度 总 和 。EtherChannel 帧 分 发 使 用 Cisco 专 有 的 
hash 算 法 。 该 算法 是 确定 性 算法 ; 如 果 使 用 同 的 地 址 和 会 话 信息 ， 则 总 是 散 列 到 通道 中 的 
同一 端口 。 此 方法 可 避免 无 序 传 送 数据 包 。 这 一 算法 中 很 重要 的 一 点 是 ， 并 不 保证 物理 链 路 
之 间 完 全 地 均衡 。 

"rid 目的 MAC 地 址 值 hash 成 0- 7 的 沁 围 。 无 论 EtherChannel 中 有 多 少 链 路 都 是 同样 的 
值 。 每 一 条 物理 链 路 都 指定 这 八 个 值 中 的 一 个 或 多 个 ， 取 决 于 EtherChannel 中 共有 几 条 链 

路 。 

下 图 显示 了 按照 这 种 算法 报 文 是 怎样 分 布 的 ， 注 意 到 分 布 并 不 总 是 均衡 的 。 
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有 八条 物理 链 路 的 EtherChannel， 每 条 链 路 指定 单一 值 。 有 六 条 链 路 的 EtherChannel， 两 条 

链 路 指定 两 个 值 ， 剩 下 四 条 链 路 指定 四 个 值 。 这 意味 着 两 条 链 路 (理论 上 均衡 分 布 ) 会 收 到 
比 剩余 四 条 链 路 多 一 倍 的 数据 流 。 从 这 张 图 很 明显 的 看 出 ， 要 使 流量 在 各 链 路 间 均 衡 的 分 布 
(理想 情况 下 ) ， 应 当 设 置 1，2，4， 或 8 条 物理 链 路 。 无 论 决定 链 路 的 信息 是 什么 ， 算 法 都 

会 将 链 路 值 hash 为 0-7 。 


Link number 


HP sb aba dd 5. dis 改 。 黑 认 行 为 是 使 用 目的 MAC 地 址 ， 但 是 ， 按 照 软 硬 件 版 本 的 
不 同 ， 还 可 以 有 如 下 选项 : 


e 源 MAC 地 址 


目的 MAC 地 址 


e 源 和 目的 MAC 地 址 

e 源 IP 地 址 

e 目的 IP 地址 

e 源 和 目的 I|P 地 址 

e 755 

e 目的 端口 

e 源 和 目的 端口 

更 改 默认 设置 的 原因 由 应 用 情况 而 定 。 下 图 显示 了 一 种 相对 普遍 的 布局 : 


一 组 用 户 连 接 到 交换 机 A， 通 过 EtherChannel 连 接 到 交换 机 B。 黑 认 按 照 每 一 个 报 文 的 目的 
MAC 地 址 做 负载 均衡 。 但 是 ， 比 较 常 见 的 情况 是 一 台 服 务 器 的 流量 显著 高 于 其 他 服务 器 
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让 我 们 假设 该 网 络 中 email 服 务 器 接收 到 多 于 1 Gbps 流 量 ， 而 其 他 服务 器 大 约 为 50Mbps。 使 
用 基于 目的 MAC 地 址 的 方法 会 导致 在 EtherChannel 丢 包 ， 因 为 目的 地 为 email 服务 器 MACH 
址 的 报 文 会 走 同一 条 物理 链 路 。 一 条 链 路 发 生 过 载 时 报 文 不 会 分 散 到 其 他 链 路 ， 只 会 丢弃 。 
在 这 种 一 台 服 务 器 接收 流量 超大 的 情况 下 ， 目 的 MAC 地 址 负载 均衡 就 不 合理 了 。 而 根据 源 
MAC 地 址 负载 均衡 更 为 合适 


一 点 需要 记 住 的 是 ， 负 载 均衡 算法 只 适用 于 EtherChannel 上 发 送 的 报 文 。 AAA 
能 。 在 交换 机 A 上 使 用 基于 源 MAC 地 址 的 算法 可 能 比较 合适 ， 但 对 于 交换 机 B 不 一 定 合适 ， 
为 email 服 务 器 是 使 用 最 多 的 服务 器 。 当 报 文 从 email 服 务 器 返回 ， pepe 它 目 己 本 
身 。 因 此 ， 如 果 我 们 在 交换 机 B 上 使 用 基于 源 MAC 地 址 的 负载 均衡 算法 ， 就 会 碰 到 一 开始 同样 
的 问题 。 


这 种 情况 下 ， 解 决 方法 是 在 交换 机 A 使 用 基于 源 MAC 地 址 的 负载 均衡 算法 ， 而 在 交换 机 B 使 用 
目的 MAC 地 址 的 算法 。 如 果 所 有 服务 器 在 一 台 交 换 机 而 所 有 用 户 在 另 一 台 ， 这 一 解决 方案 是 
有 效 的 。 但 现实 中 更 常见 的 情况 是 所 有 这 些 设 备 都 连接 在 一 台 交 换 机 上 ， 这 时 就 没 那么 走运 
> O 


下 图 显示 了 一 个 比较 有 趣 的 问题 。 一 台 服 务 器 通过 EtherChannel 连 接 到 交换 机 A 和， 一 台 NAS 也 
通过 EtherChannel 连 接 到 交换 机 A 入 。 服 务 器 的 所 有 文件 系统 都 挂 在 到 NAS 人 设备 上 ， 服 务 器 作为 
一 台 服 务 超过 5000 人 的 数据 库 服务 器 负载 很 大 。 服 务 器 和 NAS 之 间 的 带宽 需求 超过 2Gbps 。 
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目前 没有 解决 这 一 问题 的 简单 的 方法 。 不 能 使 用 源 MAC 地 址 或 目的 MAC 地 址 做 负载 均衡 ， 
为 每 种 情况 都 只 有 一 个 地 址 。 同 样 的 理由 ， 也 不 能 用 源 和 目的 MAC 地 址 结合 ， 源 和 目的 IP 地 
址 结合 的 方法 。 也 不 能 基于 源 或 目的 端口 号 ， 因 为 一 旦 协商 结束 后 ， 它 们 就 不 会 改变 。 一 种 
可 能 的 方法 是 ， 了 驱动 支持 的 情况 下 ， 改 变 服务 器 和 /或 NAS 设 备 ， 每 一 个 link 都 有 自己 的 MAC 
地 址 ， 但 是 报 文 还 是 会 从 其 中 一 个 地 址 发 出 另 一 个 地 址 接收 。 


唯一 的 解决 方法 是 手动 负载 均衡 或 采用 更 快 的 链接 。 将 链 路 分 为 4 个 1Gbps， 每 一 个 有 自己 的 
IP 网 络 ， 每 个 连接 mount 挂 载 不 同 的 文件 系统 可 以 解决 这 一 问题 。 有 点 太 过 复杂 的 话 ， 直 接 使 
用 更 快 的 物理 连接 ， 如 10 Gbps » 


MAR AD (4) : 细 说 IP 地 址 与 子 网 
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起 初 ，|P 地 址 只 有 两 层 结构 : 网 络 与 主机 。 子 网 地 址 向 其 中 添加 了 一 层 新 的 结构 : 不 同 于 仅 
有 主机 ， 网 络 有 分 为 子 网 与 主机 。 每 一 个 子 网 的 功能 近乎 于 完整 的 网 络 。 子 网 的 添加 构成 了 
三 层 网 络 结构 : 包含 子 网 的 网 络 ， 各 上 自由 关 干 主机 构成 。IP 地 址 由 此 被 分 为 三 个 部 分 : 网 络 
ID， 子 网 ID 与 主机 ID。1P 地 址 长 度 仍 固 定 为 32 位 ， 其 中 ， 人 AA 类 网 络 8 位 子 网 掩 码 ，B 类 网 络 16 
AF PA HEAR CRM BQ TF SAG © 


更 多 信息 


对 于 每 一 类 网 络 ， 网 络 数 以 及 每 一 网 络 中 包含 的 主机 数 ， 决 定 了 它们 各 自 占 用 多 少 比特 位 。 

这 一 准则 同样 适用 于 如 何 划 分 子 网 与 主机 。 子 网 数量 为 2 的 子 网 ID 次 方 ， 每 一 子 网 内 的 主机 数 
为 2 的 主机 ID 次 方 。 假 设 一 个 B 类 网 络 154.71.0.0， 网 络 ID 占 16 位 (154.71) ， 主 机 ID 占 16 

位 。 没 有 子 网 的 情况 下 一 共 可 容纳 65，534 台 主机 。 按 照 实际 需求 将 16 位 划分 为 子 网 与 主机 : 
1 位 子 网 16 位 主机 ， 或 2 与 14，3 与 13。。。 如 下 图 所 示 ， 划 分 为 5 位 子 网 与 11 位 主机 ， 子 网 数 
越 多 ， 主 机 数 越 少 。 


Class B Network 
154.71.0.0 


Host ID Split into 

5-Bit Subnet ID 

and 11-Bit Host ID 

搭建 |P 子 网 时 ， 如 何 划分 子 网 与 主机 数 是 最 重要 的 问题 之 一 。 子 网 所 占 位 取决 于 整个 网 络 中 
的 物理 子 网 数 ， 每 一 子 网 中 的 主机 数 不 能 超过 子 网 划分 所 允许 的 最 大 数量 。 





IP 子 网 掩 码 ， 表 示 法 以 及 子 网 计算 : 


在 没有 子 网 的 网 络 环境 下 ， 路 由 器 通过 |P 地 址 的 前 八 位 来 决定 是 哪 一 类 型 的 网 络 ， 从 而 它们 
知道 哪些 是 网 络 ID 哪些 是 主机 ID。 划 分 子 网 时 ， 路 由 器 也 需要 知道 主机 ID 是 如 何 划 分 成 子 网 
ID 与 主机 ID 的 ， 但 是 划分 方法 可 以 是 任意 组 合 ， 也 没有 办 法 从 IP 地 址 看 出 来 。 因 此 ， 必 须 有 
额外 的 信息 告知 解析 IP 地 址 的 设备 ， 这 一 信息 称 为 子 网 掩 码 ， 以 32 比 特 数 的 形式 呈现 。 
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而 掩 码 位 为 0 时 ， 则 地 址 中 该 位 衣 示 主机 ID。 


也 网 掩 码 为 1 : 将 IP 地 址 中 的 0 或 1 与 1 进行 与 操作 ， 即 : 当 子 网 掩 码 位 为 1，1IP 地 址 保持 不 变 。 
子 网 掩 码 为 0 : 任何 数 和 0 做 与 操作 都 是 0， 即 : 当 子 网 掩 码 位 为 0，IP 地 址 清 零 。 


因此 ， 将 子 网 掩 码 应 用 于 IP 地 址 ， 网 络 |D 和 子 网 ID 保持 不 变 ， 移 除 主机 ID。 执 行 此 功能 的 路 
由 器 由 此 获得 子 网 地 址 ， 因 为 它 知道 网 络 类 型 ， 因 此 能 够 区 分 网 络 位 与 子 网 地 址 位 。 


举例 来 说 ， 假 设 将 B 类 网 络 154.71.0.0 划 分 5 位 为 子 网 |IDD，11 位 为 主机 ID。 因 此 ， 子 网 掩 码 有 
16 个 1 代表 网 络 部 分 (B 类 网 络 ) ， 接 下 来 5 个 1 作为 子 网 部 分 ，11 个 0 用 作 主 机 ID。 二 进 制 数 
表示 为 11111111 11111111 11111000 00000000 ;十 进 制 数 表 示 为 255.255.248.0。 


Subnetted 
Class B Network 
154,71.0.0 


1 Inserted for Each 
Bit of Host ID and 
Subnet ID, O for 
Each Bit of Host ID 





Binary Subnet Mask 


Converted to 
(255.255.2486 0) 
举例 : 


假设 有 一 侣 主机 IP 地 址 154.71.150.42， 路 由 器 需要 找 出 该 主机 位 于 哪 一 子 网 ， 则 它 的 掩 码 操 
作 如 下 图 所 示 : 


Component Octet 1 Octet 2 Octet 3 Octet 4 

IP Address 10011010 01000111 (il) 10010110 00101010 
(154) (190) 1 

subnet Mask 11111111 11111111 11111000 00000000 (0) 
(295) (2955) (248) 

Result of AND 10011010 01000111471) 10010000 00000000 (0) 

Masking (154) (144) 


IP Address 

f 154.71.150.42 
in Dotted Decimal 

and Binary 


Subnet Mask 
for Class B 
Metwork with 5 
Subnet ID Bits 


Masked IP Address 
Showing Metwork ID 
(154.7 1.0.0) and 
Subnet ID (18) 





结果 ，154.71.150.42 所 属 的 子 网 为 154.71.144.0。 另 一 全 路 由 器 能 够 从 中 区 分 出 网 络 ID 与 子 
网 ID， 因 为 地 址 的 前 两 个 比特 位 是 10， 是 一 个 B 类 网 络 。 所 以 网 络 ID 占 16 位 ， 子 网 ID 一 定 是 
17 至 21。 这 里 ， 子 网 是 10010， 或 子 网 18。 


提 一 个 问题 : 既然 子 网 掩 码 只 是 将 网 络 地 址 划分 出 网 络 部 分 与 子 网 部 分 ， 那 为 什么 还 要 使 用 

另外 的 32 位 比特 数 255.255.248.0， 而 不 直接 将 IP 地 址 第 21 位 指定 为 分 界线 呢 ? 这 是 有 历史 原 
因 的 : 因为 需要 考虑 不 连续 的 掩 码 情况 。 同 时 ， 它 也 能 够 让 路 由 器 进行 快速 的 掩 码 操作 来 找 

出 子 网 地 址 。 


除了 将 16 位 划分 为 5 位 子 网 ID 与 11 位 主机 ID， 标 准 也 允许 前 2 位 用 作 子 网 ID，4 位 用 作 主 机 ID ， 
之 后 3 位 用 作 子 网 ID，7 位 用 作 主 机 ID。 因 此 子 网 掩 码 为 11000011 10000000。 当 然 ， 这 会 造 
成 混淆 ， 是 不 推荐 的 ， 实 际 中 也 没有 人 会 这 么 做 。 
鉴于 非 连续 掩 码 实 际 不 会 应 用 ， 以 及 现今 的 计算 机 速度 大 幅 提 升 ， 新 的 表达 法 为 
154.71.150.42/21 ° 
PARAR: 
假设 B 类 网 络 154.71.0.0， 没 有 子 网 的 话 一 共有 65 .534 台 主机 。 划 分 子 网 时 ， 按 照 以 下 方法 : 
e 1 位 用 作 子 网 ID ，15 位 用 作 主 机 ID : 那么 子 网 数 为 2^A1， 第 一 个 子 网 是 0， 第 二 个 子 网 是 
1° 每 一 个 子 网 的 主机 数 是 2^15-2， 或 32，766。 
e 2 位 用 作 子 网 ID，14 位 用 作 主 机 |D : 那么 子 网 数 为 2^*2， 四 个 子 网 0，1，2，3。 每 一 个 子 
网 的 主机 数 是 2^14-2， 或 16，382。 


子 网 与 主机 ID 位 的 划分 取决 于 子 网 数 与 子 网 中 最 大 主机 数 。 假 设 一 个 B 类 网 络 中 有 10 个 子 网 ， 
需要 4 位 表示 子 网 (2^4=16，2^3=8) ，12 位 用 作 主 机 ID， 每 一 子 网 最 多 4，094 台 主机 。 


如 果 你 有 20 个 子 网 ， 每 一 子 网 3，000 台 主机 ， 那 么 就 会 碰 到 问题 。 需 要 5 位 表示 20 个 子 网 ， 
而 3，000 台 主机 需要 12 位 。 这 时 需要 重新 组 织物 理 网 络 ， 如 果 无 法 做 到 ， 就 需要 第 二 个 B 类 
网 络 。 


E] ELFARIS kE : 从 指定 网 络 类 型 的 默认 予 网 掩 码 中 ， 从 最 左边 的 0 位 开始 ， 按 照 需 
要 的 子 网 数 将 0 改 为 1° 假设 C 类 网 络 200.13.94.0， 最 后 8 位 可 供 划 分 子 网 与 主机 ， 则 有 6 种 不 
同 的 划分 方法 。 假 如 使 用 3 位 作为 子 网 ID，5 位 作为 主机 ID， 那 么 


默认 C 类 网 络 子 网 掩 码 : 11111111 11111111 11111111 00000000 
将 最 左边 的 3 位 0 改 为 1 : 11111111 11111111 11111111 11100000 
即 子 网 掩 码 为 : 255.255.255.224 。 


通常 情况 下 ， 所 有 子 网 大 小 必须 相同 。 因 此 ， 最 大 一 个 子 网 的 主机 数 决 定 了 需要 多 少 位 比特 
用 作 主 机 ID。 因 此 前 例 中 ， 前 19 个 子 网 每 个 子 网 最 多 100 台 主机 ， 而 第 20 个 子 网 需要 3000 个 
主机 ， 就 会 碰 到 问题 。 这 种 情况 下 ， 需 要 将 最 后 一 个 过 大 的 子 网 拆 成 若干 个 小 的 子 网 。 
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转载 请 在 文 首 保 留 原文 出 处 : EMC 中 文 支持 论坛 https://community.emc.com/go/chinese 





将 TCP 与 UDP 这 样 的 简单 传输 协议 区 分 开 来 的 是 它 传输 数据 的 质量 。TCP 对 于 发 送 数 据 进 
跟踪 ， 这 种 数据 管理 需要 协议 有 以 下 两 大 关键 功能 : 


— 


可 靠 性 : 保证 数据 确实 到 达 目 的 地 。 如 果 未 到 达 ， 能 够 发 现 并 重 传 。 
数据 流 控 : 管理 数据 的 发 送 速 府 ， 以 使 接收 设备 不 致 于 过 载 。 


要 完成 这 些 任 务 ， 整 个 协议 操作 是 围绕 滑动 窗口 确认 机 制 来 进行 的 。 因 此 ， 理 解 了 滑动 窗 
口 ， 也 就 是 理解 了 TCP 。 


更 多 信息 


TCP 面 向 流 的 滑动 窗口 确认 机 制 : 


TCP 将 独立 的 字 节 数据 当 作 流 来 处 理 。 一 次 发 送 一 个 字 节 并 接收 一 次 确认 显然 是 不 可 行 的 。 
即使 重 登 传输 ( 即 不 等 待 确认 就 发 送 下 一 个 数据 ) ， 速 度 也 还 是 会 非 第 缓慢 。 
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TCP 消 息 确 认 机 制 如 上 图 所 示 ， 首 先 ， 每 一 条 消息 都 有 一 个 识别 编号 ， 每 一 条 消息 都 能 够 被 
独立 地 确认 ， 因 此 同一 时 刻 可 以 发 送 多 条 信息 。 Mea e 给 A 一 条 发 送 限 制 参 数 ， 制 约 
设备 A 一 次 能 发 送 的 消息 最 大 数量 。 设 备 B 可 以 对 该 参数 进行 调整 ， 以 控制 设备 A 的 数据 流 。 


为 了 提高 速度 ，TCP 并 没有 按照 字 节 单个 发 送 而 是 将 数据 流 划 分 为 片段 。 片 段 内 所 有 字 节 都 
apt > 因此 也 是 一 起 确认 的 。 确 认 机 制 没 有 采用 message — ， 而 是 使 用 
的 片段 内 最 后 一 个 字 节 的 sequence number。 因 此 一 次 可 以 处 理 不 同 的 字 节 数 ， 这 一 数量 即 
为 片段 内 的 sequence number。 


TCP 数 据 流 的 概念 划分 类 别 


假设 和 A 和 BB 之 间 新 建立 了 一 条 TCP 连 接 。 设 备 人 需要 传送 一 长 事 数 据 流 ， 但 设备 BB 无 法 一 次 全 部 
接收 ， 所 以 它 限制 设备 A 每 次 发 送 分 段 指 定数 量 的 字 节 数 ， 直 到 分 段 中 已 发 送 的 字 节 数 得 到 确 
认 。 之 后 ， 设 备 A 可 以 继续 发 送 更 多 字 节 。 每 一 个 设备 都 对 发 送 ， 接 收 及 确认 数据 进行 追踪 。 


如 果 我 们 在 任 一 时 间 点 对 于 这 一 过 程 做 一 个 “快照 ” 么 我 们 可 以 将 TCP buffer 中 的 数据 分 为 
以 下 四 类 ， 并 把 它们 看 作 一 个 时 间 轴 : 

1. 已 发 送 已 确认 X m 最 早 的 字 节 已 经 发 送 并 得 到 确认 。 这 些 数据 是 站 在 发 送 设备 的 角度 
来 看 的 。 如 下 图 所 示 ，31 个 字 节 已 经 发 送 并 确认 。 

2. 已 发 送 但 尚未 确认 已 发 送 但 尚未 得 到 确认 的 字 节 。 发 送 方 在 确认 之 前 ， 不 认为 这 些 数据 已 


经 被 处 理 。 下 图 所 示 14 字 节 为 第 2 类 。 


3. 未 发 送 而 接收 方 已 Ready 设备 尚未 将 净 ikea ae es 
发 送 多 少 字 节 确认 自己 有 足够 空间 。 发 送 方 会 立即 尝试 发 送 。 如 图 ， 第 3 类 有 6 字 节 。 


4. 未 发 送 而 接收 方 Not Ready 由 于 接收 方 not ready， 还 不 允许 将 这 部 分 数据 发 出 。 
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接收 方 采用 类 似 的 机 制 来 区 分 已 接收 并 已 确认 ， 尚 未 接受 但 准备 好 接收 ， 以 及 尚未 接收 并 尚 
未 准备 好 接收 的 数据 。 实 际 上 ， 收 发 双方 各 自 维 护 一 套 独 立 的 变量 ， 来 监控 发 送 和 接收 的 数 
据 流 落 在 哪 一 Eo E 


Sequence Number X X 5 j| v 


发 送 方 和 接收 方 必 须 就 它们 将 要 为 数据 流 中 的 字 节 指定 的 sequence number 达 成 一 致 。 这 一 
过 程 称 为 同步 ， 在 TCP 连 接 建 立时 完成 。 为 了 简化 假设 第 一 个 字 节 sequence numberz1 > d£ 
照 上 图 示例 ， 四 类 字 节 如 下 : 


1. 已 发 送 已 确认 字 节 1 至 31。 


2. 已 发 送 但 尚未 确认 字 节 32 至 45。 

3. 未 发 送 而 接收 方 已 Ready 字 节 46 至 51。 
4. 未 发 送 而 接收 方 Not Ready 字 节 52 至 95。 
发 送 窗口 与 可 用 窗口 : 


整个 过 程 关键 的 操作 在 于 接收 方 允 许 发 送 方 一 次 能 容纳 的 未 确认 的 字 节 数 。 这 称 为 发 送 窗 
uo 有 时 也 称 为 窗口 。 该 窗口 决定 了 发 送 方 允 许 传 送 的 字 节 数 ， 也 是 2 类 和 3 类 的 字 节 数 之 
和 。 因 此 ， 最 后 两 类 (接收 方 准 备 好 而 尚未 发 送 ， 接 收 方 未 准备 好 ) 的 分 界线 在 于 添加 了 从 
第 一 个 未 确认 字 节 开始 的 窗口 。 本 例 中 ， 第 一 个 未 确认 字 节 是 32， 整 个 窗口 大 小 是 20 。 


可 用 窗口 的 定义 是 : 考虑 到 正在 传输 的 数据 量 ， 发 送 方 仍 被 允许 发 送 的 数据 量 。 实 际 上 等 于 
第 3 类 的 大 小 。 左 边界 就 是 窗口 中 的 第 一 个 字 节 (FP32) ， 右 边界 是 窗口 中 最 后 一 个 字 节 
( 字 节 51) 。 概 念 的 详细 解释 看 下 图 。 
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可 用 窗口 尝 节 发 送 后 TCP 类 目 与 窗口 大 小 的 改变 : 

当 上 图 中 第 三 类 的 6 字 节 立即 发 送 之 后 ， 这 6 字 节 从 第 3 类 转移 到 第 2 类 。 字 节 变 为 如 下 : 
1. 已 发 送 已 确认 字 节 1 至 31 © 

2. 已 发 送 但 尚未 确认 字 节 32 至 51。 

3. 未 发 送 而 接收 方 已 Ready 字 节 为 0 » 

4. 未 发 送 而 接收 方 Not Ready 字 节 52 至 95。 
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确认 处 理 以 及 窗口 缩放 : 


网 络 基本 功 (A) : 细 说 TCP 滑 动 窗口 51 


过 了 一 段 时 间 ， 目 标 设备 向 发 送 方 传 回 确认 信息 。 目 标 设备 不 会 特别 列 出 它 已 经 确认 的 字 
节 ， 因 为 这 会 导致 效率 低下 。 目 标 设备 会 发 送 自 上 一 次 成 功 接收 后 的 最 长 字 节 数 。 


大 大 


例如 ， 假 设 已 发 送 未 确认 字 节 (32 至 45) 分 为 4 段 传输 : 32-34，35-36，37-41，42-45。 第 
1，2，4 已 经 到 达 ， 而 3 段 没有 收 到 。 接 收 方 只 会 发 回 32-36 的 确认 信息 。 接 收 方 会 保留 42-45 
但 不 会 确认 ， 因 为 这 会 表示 接收 方 已 经 收 到 了 37-41。 这 是 很 必要 的 ， 因 为 TCP 的 确认 机 制 是 
累计 的 ， 只 使 用 一 个 数字 来 确认 数据 。 这 一 数字 是 自 上 一 次 成 功 接收 后 的 最 长 字 节 数 。 假 设 
目标 设备 同样 将 窗口 设 为 20 字 节 。 

当 发 送 设备 接收 到 确认 信息 ， 则 会 将 一 部 分 第 2 类 字 节 转移 到 第 1 类 ， 因 为 它们 已 经 得 到 了 确 
认 。 由 于 5 个 字 节 已 被 确认 ， 窗 口 大 小 没有 改变 ， 人 允许 发 送 方 多 发 5 个 字 节 。 结 果 ， 窗 口 向 右 
滑动 5 个 字 节 。 同 时 5 个 字 节 从 第 二 类 移动 到 第 1 类 ，5 个 字 节 从 第 4 类 移动 至 第 3 类 ， 为 接 下 来 
的 传输 创建 了 新 的 可 用 窗口 。 因 此 ， 在 接收 到 确认 信息 以 后 ， 看 起 来 如 下 图 所 示 。 字 节 变 基 
如 下 : 


1. 已 发 送 已 确认 字 节 1 至 36 。 

2. 已 发 送 但 尚未 确认 字 节 37 至 51。 

3. 未 发 送 而 接收 方 已 Ready 字 节 为 52 至 56 » 
4. 未 发 送 而 接收 方 Not Ready 字 节 57 至 95。 
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每 一 次 确认 接收 以 后 ， 这 一 过 程 都 会 发 生 ， 从 而 让 窗口 滑动 过 整个 数据 流 以 供 传 输 。 

处 理 丢失 确认 信息 : 

但 是 丢失 的 42-45 如 何 处 理 呢 ?在 接收 到 第 3 段 (37-41) 之 前 ， 接 收 设 备 不 会 发 送 确认 信息 ， 
也 不 会 发 送 这 一 段 之 后 字 节 的 确认 信息 。 发 送 设备 可 以 将 新 的 字 节 添加 到 第 3 类 之 后 ， 即 52- 
56。 发 送 设 备 之 后 会 停止 发 送 ， 窗 口 停留 在 37-41。 

TCP 包括 一 个 传输 及 重 传 的 计时 机 制 。TCP 会 重 传 丢失 的 片段 。 但 有 一 个 缺陷 是 : 因为 它 不 
会 对 每 一 个 片段 分 别 进行 确认 ， 这 可 能 会 导致 其 他 实际 上 已 经 接收 到 的 片段 被 重 传 (比如 42 
至 45) 。 
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介绍 


TCP 的 主要 任务 是 很 简单 : 打包 和 发 送 数据 。TCP 与 其 他 协议 的 不 同 之 处 在 于 使 用 滑动 窗口 
来 管理 基本 数据 收发 过 程 ， 同 时 确保 数据 流 的 有 效 及 可 靠 传 输 ， 从 而 不 致 发 送 速 牵 明显 快 于 
接收 速 府 。 本 文 将 描述 TCP 是 如 何 确保 设备 可 靠 、 有 效 地 进行 传输 的 。 首 先 阅 述 TCP 检 测 丢 
失 片 段 以 及 重 传 的 基本 方法 ， 之 后 介绍 TCP 如 何 判 断 一 个 片段 为 丢失 片段 。 


更 多 言 息 
TCP 片 段 重 传 计时 器 以 及 重 传 队列 : 


检测 丢失 片段 并 对 之 重 传 的 方法 概念 上 是 很 简单 的 。 每 一 次 发 送 一 个 片段 ， 就 开启 一 个 重 伟 
计时 器 。 计 时 器 有 一 个 初始 值 并 随时 间 递 碱 。 如 果 在 片段 接收 到 确认 之 前 计时 器 超时 ， 就 重 
传 片 段 。TCP 使 用 了 这 一 基本 技术 ， 但 实现 方式 稍 有 不 同 。 原 因 在 于 为 了 提高 效 座 需要 一 次 
处 理 多 个 未 被 确认 的 片段 ， 以 保证 每 一 个 在 恰当 的 时 间 重 传 。TCP 按 照 以 下 特定 顺序 工作 : 


放置 于 重 传 队列 中 ， 计 时 器 开始 包含 数据 的 片段 一 经 发 送 ， 片 段 的 一 份 复制 就 放 在 名 为 重 传 
队列 的 数据 结构 中 ， 此 时 启动 重 传 计时 器 。 因 此 ， 在 某 些 时 间 点 ， 每 一 个 片段 都 会 放 在 队列 

里 。 队 列 按照 重 传 计时 器 的 剩余 时 间 来 排列 ， 因 此 TCP 软 件 可 追踪 那 几 个 计时 器 在 最 短 时 间 
内 超时 。 


确认 处 理 如 果 在 计时 器 超时 之 前 收 到 了 确认 信息 ， 则 该 片段 从 重 传 队 列 中 移 除 。 


重 传 超时 如 果 在 计时 器 超时 之 前 没有 收 到 确认 信息 ， 则 发 生 重 传 超时 ， 片 段 自动 重 传 。 当 
然 ， 相 比 于 原 片 段 ， 对 于 重 传 片段 并 没有 更 多 的 保障 机 制 。 因 此 ， 重 传 之 后 该 片段 还 是 保留 
在 重 传 队 列 里 。 重 传 计时 器 被 重启 ， 重 新 开始 倒计时 。 如 果 重 传 之 后 没有 收 到 确认 ， 则 片段 
会 再 次 重 传 并 重复 这 一 过 程 。 在 某 些 情况 下 重 传 也 会 失败 。 我 们 不 想 要 TCP 永 远 重 传 下 去 ， 
因此 TCP 只 会 重 传 一 定数 量 的 次 数 ， 并 判断 出 现 故 障 终止 连接 。 


但 是 我 们 怎样 知道 一 个 片段 被 完全 确认 呢 ? 重 传 是 基于 片段 的 ， 而 TCP 确 认 信 息 是 基于 序列 

号 累积 的 。 每 次 当 设 备 A 发 送 片段 给 设备 B， 设 备 B 查 看 该 片段 的 确认 号 字段 。 所 有 低 于 该 字 

段 的 厚 列 号 都 已 经 被 设备 A 接 收 了 。 因 此 ， 当 片段 中 所 发 送 的 所 有 字 节 的 厚 列 号 都 比 设备 A 到 

设备 B 的 最 后 一 个 确认 号 小 的 时 候 ， 一 个 从 设备 B 发 到 设备 A 的 片段 被 认为 是 确认 了 。 这 坪 通 
过 计算 片段 中 最 后 一 个 序列 号 结合 片段 的 数据 字段 来 实现 的 。 


让 我 们 以 下 图 为 例 来 说 明 一 下 确认 和 重 传 是 怎样 工作 的 。 假 设 连接 中 的 服务 器 发 出 了 四 个 连 
续 片 段 (号 码 从 1 开始 ) 


片段 1 序列 号 字段 是 1 片段 长 度 80。 所 以 片段 1 中 最 后 一 个 序列 号 是 80 。 
片段 2 序列 号 是 81 片 段 长 度 是 120。 片 段 2 中 最 后 一 个 序列 号 是 200 © 


片段 3 友 列 号 是 201 片 段 长 度 是 160。 片 段 3 中 最 后 一 个 序列 号 是 360 © 


这 些 片 段 是 一 个 接 一 个 发 送 的 ， 而 无 需 等待 前 一 个 发 送 得 到 确认 。 这 是 TCP 滑 动 窗口 的 一 个 
主要 优势 ( 细 说 TCP 滑 动 窗口 ) 。 


假设 客户 端 接收 到 前 两 个 传输 ， 它 会 发 回 一 条 确认 消息 确认 号 为 201。 从 而 告知 服务 器 前 两 个 
片段 已 经 被 客户 端 成 功 接收 了 ， 它 们 从 重 传 队列 中 移 除 (并 且 服 务 器 发 送 窗口 右 移 200 字 

节 ) 。 在 接收 到 确认 号 361 或 更 高 的 片段 之 前 ， 片 段 3 会 保留 在 重 传 队 列 中 ; 片段 4 需要 确认 号 
501 或 更 高 。 


现在 ， 让 我 们 进一步 假设 传输 过 程 中 片段 3 丢失 了 ， 但 片段 4 被 接收 到 了 。 客 户 端 将 片段 4 保存 
在 接收 buffer 中 ， 但 是 不 需要 确认 ， 因 为 TCP 是 累积 确认 机 制 一 一 确认 片段 4 表示 片段 3 也 接收 
到 了 ， 但 实际 上 并 没有 。 因 此 ， 客 户 端 需要 等 待 片段 3。 实 际 上 ， 服 务 器 端 片段 3 的 重 传 计 时 
器 会 超时 ， 服 务 器 之 后 重 传 片段 3°。 之 后 客户 端 收 到 ， 然 后 发 送 片 段 3 和 4 的 确认 信息 给 服务 
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n WV 
8 MW 


En 


还 有 一 个 重要 的 问题 ， 服 务 器 将 如 何 处 理 片 段 4 呢 ? 虽然 客户 端 在 等 待 片段 3， 服 务 器 没有 收 
到 反馈 ， 所 以 它 并 不 知道 片段 3 丢失 了 ， 同 样 它 也 不 知道 片段 4 发 生 了 什么 (以 及 接 下 来 传输 
的 数据 ) 。 很 有 可 能 客户 端 已 经 接收 到 了 片段 4 但 是 不 能 确认 ， 也 有 可 能 片段 4 也 丢失 了 。 一 
些 实现 中 会 选择 仅仅 重 传 片段 3， 也 有 些 会 把 3 和 4 都 重 传 。 
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如 果 设 置 
， 接 下 来 的 章节 会 讲 到 。 
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在 TCP 确 认 机 制 中 ， 无 法 有 效 处 理 非 连续 TCP 捷 段 。 确 认 号 表明 所 有 低 于 该 编号 的 sequence 
number 已 经 被 发 送 该 编号 的 设备 接收 。 如 果 我 们 收 到 的 衬 节 — 续 的 范围 内 ， 则 


无 法 只 通过 一 个 编号 来 确认 。 这 可 能 导致 潜在 严重 的 性 能 问题 ， 特 别 是 高 速 或 可 靠 性 较 差 的 
网 络 。 


更 多 信息 


还 是 以 下 图 为 例 ， 服 务 器 发 送 了 4 个 片段 并 收 到 1 条 回复 ， 确 认 号 为 201°。 因此 ， 片 段 1 和 片段 2 
被 当成 已 确认 。 它 们 从 重 传 队 列 中 移出 ， 同 时 允许 服务 器 发 送 贸 口 向 右 移 动 200 字 节 ， 从 而 发 
送 数据 增加 200 个 字 节 。 


然而 ， 再 次 假设 片段 3， 从 seduence number201 开 始 ， 在 发 送 过 程 中 丢失 了 。 由 于 客户 端 从 
没有 收 到 这 一 片段 ， 所 以 它 也 无 法 发 送 确认 号 高 于 201 的 确认 信息 ， 从 而 导致 滑动 窗口 停滞 。 
服务 器 可 以 继续 发 送 其 他 片段 直到 填 满 客户 端的 接收 窗口 ， 但 是 直到 容 户 端 发 送 另 一 条 确认 
言 息 ， 服 务 器 的 发 送 窗口 都 不 会 滑动 。 


男 一 个 问题 是 如 果 上 片段 3 丢失 了 ， 容 户 端 将 无 法 告知 服务 器 是 否 收 到 后 续 的 片段 。 在 突 户 端 接 
收 窗口 填 满 之 前 ， 很 有 可 能 客户 端 已 经 接收 到 片段 4 以 及 之 后 的 帮 段 。 但 是 客户 端 无 法 发 送 值 
为 501 的 确认 信息 以 表明 接收 到 片段 4， 因 为 这 意味 着 片段 3 也 接收 到 了 。 
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这 里 我 们 看 到 了 TCP 单 编号 ， 系 积 确认 机 制 的 缺点 。 我 们 可 以 想象 一 个 最 差 的 情况 ， 服 务 器 
被 告知 它 有 一 个 10，000 衬 节 窗 口 ，20 个 片段 每 个 片段 500 字 节 。 第 一 个 片段 丢失 了 ， 其 他 19 
个 被 接收 到 了 。 但 是 由 于 第 一 个 片段 从 没有 接收 到 ， 其 他 19 个 也 无 法 确认 。 


未 确认 片段 处 理 策略 : 


我 们 怎样 处 理 丢 失 片 段 之 后 的 片段 呢 ? 本 例 中 ， 当 服务 器 片段 3 重 传 超时 ， 它 必须 决定 怎样 处 
理 片 段 4， 它 不 知道 客户 端 是 否 已 经 接收 到 。 在 上 述 最 差 情 况 下 ， 第 一 个 片段 丢失 后 ， 其 余 19 
个 可 能 或 可 能 无 法 被 客户 端 接收 到 。 


处 理 这 种 情况 有 两 种 可 能 的 方式 : 


仅 重 传 超时 片段 : 这 是 一 种 更 加 保守 的 方式 ， 仅 重 传 超时 的 片段 ， 布 望 其 他 片段 都 能 够 成 功 
接收 。 如 果 该 片段 之 后 的 其 他 片段 实际 上 接收 到 了 ， 这 一 方式 是 最 佳 的 ， 如 果 没 接收 到 ， 就 
无 法 正常 执行 。 后 者 的 情况 每 一 个 片 cee a o 假设 上 述 最 坏 情况 下 ， 所 有 20 


个 500 字 节 片 段 都 丢失 了 。 我 们 需要 等 片段 1 超时 并 重 传 。 这 一 片段 也 许 会 得 到 确认 ， 但 之 后 
我 们 需要 等 待 片 段 2 超 时 并 重 传 。 这 一 过 程 会 重复 多 次 。 


重 传 所 有 片段 : 这 是 一 种 更 激进 或 者 说 更 悲观 的 方式 。 无 论 何 时 一 个 片段 超时 了 ， 不 仅 重 传 
该 片段 ， 还 有 所 有 其 他 尚未 确认 的 片段 。 这 一 方式 确保 了 任何 时 间 都 有 一 个 等 待 确认 的 停顿 
时 间 ， 在 所 有 未 确认 片段 丢失 的 情况 下 ， 会 刷新 全 部 未 确认 片段 ， 以 使 对 端 设备 多 一 次 接收 


机 会 。 在 所 有 20 个 片段 都 丢失 的 情况 下 ， 相 对 于 第 一 种 方式 节省 了 大 量 时 间 。 这 种 方式 的 问 
题 在 于 可 能 这 些 重 传 是 不 必要 的 。 如 果 第 一 个 片段 丢失 而 其 他 19 个 实际 上 接收 到 了 ， 也 得 重 
传 那 9500 字 节 数 据 。 


由 于 TCP 不 知道 其 他 片段 是 否 接 收 到 ， 所 以 它 也 无 法 确认 哪 种 方法 更 好 ， 但 只 能 选择 一 种 方 
式 。 上 图 示例 了 保守 的 方式 ， 而 下 图 显示 的 是 激进 的 方式 : 


Client Server 


RLY WIND = 360 





RCV.AKT = 1 


I. Send Part 1 a 
BO Bytes [1 te BO ! 








File Part 1 a 
Seq hum = 1 | 2. Send Pon 2 th 
File Pad 2 120 Bytes (81 te 200] fun 
Seq Mum = 8! | 3. Send Part 3 DEIN 
A. Receive Faai 2 Segments, 160 Bytas (201 w360) | i S 
Send Acknowledgment | 一 ; ior 
5 li m 
pe TS 
: 5i] Bum = 341 eh: | i 
RCV.NXT = 201 -i - 
6. Receive Part 4 of File; Cannot 
Send Acknowledgment 
RCV. WhND = 540 
RCV MAT = 201 
File Pari 3 B. Timacut fer Part 3; 
Sag Mum = 201 Ratransmit Part 3 & 4, x 
9. Receive Parts 3 and 4 of Filo; Discord 3 Fae Pari 4 Restart Timer for Each rh 
Duplicate Part 4, Send Acknewledament Seg Mum = 351 1 4 
for París JaA Lah 


Ack 
RCV WD = 560 Ack Hum = 501. 


! ' | 10. Receo Ack for Parts 3 & 4 
aaf 120] to [ nao I SHD-WND = 560 sup UNA- 501 


ROW LAAT = 591 





问题 的 关键 在 于 无 法 确认 非 连续 片段 。 解 决 方式 是 对 TCP 滑 动 窗 口算 法 进行 扩展 ， 添 加 允许 
设备 分 别 确 认 非 连续 片段 的 功能 。 这 一 功能 称 为 选择 确认 (selective acknowledgment, 
SACK) » 


选择 确认 : 
通过 SACK， 连 接 的 两 方 设 备 必 须 同时 支持 这 一 功能 ， 通 过 连接 时 使 用 的 SYN 片 段 来 协商 是 否 
允许 SACK。 这 一 过 程 完成 之 后 ， 住 一 设备 都 可 以 在 第 规 TCP 上 片段 中 使 用 SACK 选 项 。 这 一 选 


项 包含 一 个 关于 已 接收 但 未 确认 片段 数据 sequence number 范 围 的 列表 ， 由 于 它们 是 非 连续 
的 。 


各 设备 对 重 传 队 列 进行 修改 ， 如 果 该 片段 已 被 选择 确认 过 ， 则 该 片段 中 的 SACK 比 特 位 置 
1。 该 设备 使 用 图 2 中 激进 方式 的 改进 版 本 ， 一 个 片段 重 传 之 后 ， bd 
非 SACK 比 特 位 为 1。 


例如 ， 在 4 个 片段 的 情况 下 ， 如 果 容 户 端 接收 到 片段 4 而 没有 接收 到 片段 3， 当 它 发 回 确认 号 为 
201 (片段 1 和 片段 2) 的 确认 信息 ， 其 中 包含 一 个 SACK 选 项 指明 :“ 已 接收 到 字 节 361 至 

500 > 12 i RAU” o to RA BAR RAR2AE 到 达 ， 上 述 信 息 也 可 以 通过 第 二 个 确认 片段 来 
完成 。 服 务 器 确认 片段 4 的 字 节 范围 ， 并 为 片段 4 打开 SACK 位 。 当 片段 3 重 传 时 ， 服 务 器 看 到 
片段 4 的 SACK 位 为 1， 就 不 会 对 其 重 传 。 如 下 图 所 示 。 

在 片段 3 重 传 之 后 ， 片 段 4 的 SACK 位 被 清除 。 这 是 为 了 防止 客户 端 出 于 某 种 原因 改变 片段 4 已 
接收 的 想法 。 客 户 端 应 当 发 送 确 认 号 为 501 或 更 高 的 确认 信息 ， 正 式 确认 片段 3 和 4 接收 到 。 如 
果 这 一 情况 没有 发 生 ， 服 务 器 必须 接收 到 片段 4 的 另 一 条 选择 确认 信息 才能 将 它 的 SACK 位 打 
开 ， 否 则 ， 在 片段 3 重 传 时 或 计时 器 超时 的 情况 下 会 对 其 自动 重 传 。 
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网 络 基 本 功 (十 一 ) : TCP 窗 口 调整 与 流 控 
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介绍 

前 文 已 经 介绍 过 了 TCP 滑 动 窗口 大 小 的 重要 性 。 在 客户 端 与 服务 器 的 连接 中 ， 和 客户 端 告知 服 
SEEK nip. 器 接收 多少 字 节 数据 ， 这 是 客户 端的 接收 窗口 ， 即 服务 器 的 发 送 窗 
口 。 类 似 地 ， 服 务 器 告知 客户 端 一 次 希望 从 客户 端 接 收 多 少 字 节 数 据 ， 也 就 是 服务 器 的 接收 
窗口 和 客户 端的 发 送 窗口 。 


要 理解 为 什么 窗口 大 小 会 产生 波动 ， 首 先 需 要 理解 它 的 含义 。 最 简单 的 方式 是 它 代 表 了 设备 
对 于 特定 连接 的 接收 缓存 大 小 。 即 ， 窗 口 大 小 代表 一 个 设备 一 次 能 够 从 对 端 处 理 多 少数 据 ， 
之 后 表 传 递 给 应 用 层 处 理 。 


更 多 信息 

当 服 务 器 从 客户 端 接收 数据 ， 它 就 将 数据 放 在 缓存 中 ， 服 务 器 必须 对 数据 做 以 下 两 步 操 作 : 
确认 : 服务 器 必须 将 确认 信息 发 回 罕 户 端 以 表明 数据 接收 。 

传输 : 服务 器 必须 处 理 数据 ， 将 它 传 递 给 目标 应 用 程序 处 理 。 


区 分 开 这 两 件 事情 是 非常 重要 的 。 关 键 在 于 基本 的 滑动 窗口 机 制 中 ， 数 据 于 接收 时 确认 ， E 
并 不 一 定 立 即 从 缓存 中 传输 出 去 。 也 就 意味 着 当 接 收 数 据 速 度 快 于 接收 TCP 处 理 速度 时 ， 
存 有 可 能 被 坛 满 。 当 这 一 情况 发 生 时 ， 接 收 设备 需 要 调整 窗口 大 小 已 防止 绥 存 过 载 。 


由 于 窗口 大 小 能 够 以 这 种 方式 管理 连接 两 端 设备 数据 流 的 速 举 ，TCP 就 是 以 这 种 方式 实现 流 
控 M 非 第 典型 的 任务 。 流 控 对 于 TCP 来 说 是 很 重要 的 ， 因 为 它 是 设备 间 互 通 状态 的 

方式 。 通 过 增加 或 缩小 窗口 大 小 ， 服 务 器 和 客户 端 能 够 确保 对 端 发 送 数据 的 速度 等 同 于 处 理 
速度 。 


减 小 窗口 大 小 以 降低 发 送 速率 : 
务 器 


首先 看 一 下 客户 端 到 服务 器 的 数据 传输 ， 如 下 图 所 示 。 
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客户 端 传 输 140 字 节 数 据 至 服务 器 。 之 后 ， 窜 户 端的 可 用 窗口 还 剩 下 220 字 节 : 发 送 窗口 的 
360 字 节 减 去 发 送 的 140 字 节 。 


一 段 时 间 过 后 ， 服 务 器 接收 到 140 字 节 并 将 它们 放 在 线 存 中 。 现 在 ， 理 想 的 情况 下 ，140 字 节 
进入 缓存 ， 确 认 之 后 立刻 从 缓存 移出 。 也 就 是 说 ， 缓 存 有 足够 的 大 小 来 容纳 客户 端 发 送 的 所 
有 数据 。 缓 存 的 空闲 空间 维持 在 360 字 节 ， 因 此 告知 客户 端 窗口 大 小 保持 不 变 。 


只 要 服务 器 处 理 速度 和 数据 进入 速度 相同 ， 窗 口 大 小 就 会 保持 在 360 字 节 。 客 户 端 在 接收 到 
140 字 节 的 确认 信息 以 及 窗口 大 小 保持 不 变 的 信息 之 后 ， 将 360 字 节 窗 口 向 右 移动 140 字 节 。 
由 于 现在 未 确认 字 节 数 为 0， 因 此 客户 端 又 可 以 发 送 360 字 节 数 据 。 对 应 于 之 前 可 用 窗口 的 220 
字 节 ， 加 上 刚刚 确认 的 140 字 节 数 据 。 


然而 ， 现 实 中 服务 器 可 能 需要 处 理 数 十 ， 数 百 乃 至 数 千 个 TCP 连 接 。TCP 可 能 无 法 立刻 处 理 
数据 ， 或 应 用 应 用 程序 本 身 无 法 接收 140 字 节 数 据 。 任 何 一 种 情况 下 ， 服 务 器 TCP 都 无 法 立刻 
将 140 字 节 从 缓存 中 移出 。 这 时 ， 除 了 发 回 确认 信息 给 客户 端 以 外 ， 服 务 器 会 想 要 告知 客户 端 
更 改 窗口 大 小 ， 以 表示 缓存 已 经 被 部 分 写 入 了 。 


endows. ees ' 但 只 能 发 送 40 字 节 给 应 用 程序 ， 缓 和 存 中 剩 下 100 字 节 。 当 发 送 140 

节 的 确认 信息 ， 服 务 器 将 发 送 窗 口 缩小 100 字 节 ， 至 260 字 节 。 当 客户 端 从 服务 器 接收 到 这 
a 段 ， 它 将 会 看 到 140 字 节 的 确认 信息 并 将 窗口 向 右 滑动 140 字 节 。 在 滑动 过 程 中 ， 将 大 小 
缩减 至 260 字 节 。 可 以 认为 将 窗口 左 端 消 动 140 字 节 ， 但 右 端 仅 滑动 40 字 节 。 新 的 稍 小 一 些 的 
窗口 保证 服务 器 从 客户 端 接收 最 多 260 字 节 数 据 ， 以 适应 接收 缓存 中 的 剩余 空间 ， 如 下 图 的 1- 
3 步 所 示 。 


Client Server 


















Lsoble = 360 


Request 
lengths 180 
5a] Humal ä l 


4. Send | BÜ-Byte Request f- 
SMD UA = 14] SND- eee 20 2 
- 5. Receive Request; Send Ack, Reduce 
Acknowledgment _ Window by 180 
Ack Hum = 121 
Winda = OC 


&. Reduce Send Window to 80 


sie ^ dan cle. 
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缩减 发 送 窗 口 以 停止 发 送 新 数据 : 


如 果 服 务 器 无 法 接收 任何 新 数据 会 怎么 样 呢 ? 假设 穴 己 端 下 一 次 传输 180 字 节 ， 但 是 服务 器 太 
忙碌 而 无 法 对 其 进行 处 理 。 这 种 情况 下 ， 服 务 器 将 这 180 字 节 缓 存 下 来 ， 并 且 在 确认 信 ma 
将 窗口 大 小 从 260 字 节 缩 减 为 80 字 节 。 当 客户 端 接收 到 180 字 节 的 确认 信息 ， 它 也 会 看 到 窗 
缩减 了 180 字 节 ， 它 会 滑动 与 缩减 同样 的 大 小 ， 告 知 服务 器 : 我 确认 接收 180 字 节 数 据 ， 但 不 
允许 你 再 发 送 新 的 数据 。 palin in 端 滑 动 180 字 节 ， 但 右 端 维持 不 动 。 只 要 右 端 不 移 
动 ， 窜 户 端 就 无 法 发 送 更 多 数据 。 这 一 过 程 显示 在 上 图 的 4-6 中 。 


关闭 发 送 窗 口 : 


窗口 调整 可 以 通过 双方 设备 来 完成 。 如 果 服 务 器 从 客户 端 接收 的 数据 持续 快 于 推送 给 应 用 的 
速率 ， 则 服务 器 将 会 继续 减 小 接收 窗口 。 假 设 发 送 窗 口 减 小 至 80 字 节 ， 客 户 端 发 送 第 三 个 请 
求 ， 长 度 为 80 字 节 ， 但 服务 器 仍 处 于 繁忙 状态 。 之 后 服务 器 将 窗口 减 小 为 0， 也 称 为 关闭 窗 
口 。 这 一 信息 


告知 客户 端 服 务 器 已 经 过 载 ， 它 需要 彻底 停止 发 送 数 据 ， 如 上 图 最 后 一 步 所 
示 。 之 后 ， 当 服务 器 负载 减轻 时 ， 可 以 再 次 增加 这 一 连接 的 窗口 ， 允 许 更 多 数据 传输 。 


网 络 基 本 功 (t=) : 细 说 Linux 网 络 配置 (上 ) 


转载 请 在 文 首 保 留 原文 出 处 : EMC 中 文 支持 论坛 https://community.emc.com/go/chinese 





将 一 台 设 备 添 加 到 本 地 网 络 的 基本 步骤 包括 : 


e 指定 唯一 的 IP 地 址 与 主机 名 。 
e 确保 启动 时 正确 配置 网 络 接口 。 

e 创建 默认 路 由 。 

e 指定 DNS 域名 服务 器 以 使 设备 能 够 连接 到 网 络 其 他 部 分 。 


更 多 信息 


指定 主机 名 与 此 地 址 : 


使 用 /etc/hosts 文 件 是 将 设备 名 映射 到 |P 地 址 的 最 简单 的 方式 ， 每 一 行 以 |P 地 址 开始 ， 跟 随 识 


别 到 的 各 种 符号 名 : 

127.0.0.1 localhost 

192.108.21.48 lip j»p.atrust.ec Lon inm pop 'ogh ost 
192,108.21,254 chimehim g watrust.com chimchim-gw 
192.108.21.1 ns.atrust.com ns 

192.225 33.5 licenses atrust.com license-server 


由 于 /etc/hosts 仅 包括 本 地 映射 而 且 必 须 维 护 在 每 一 台 窜 户 端 设 备 ， 所 以 最 好 保存 那些 需要 在 
启动 时 映射 的 信息 ( 即 : 主机 本 身 ， 默 认 网 关 ， 以 及 域名 服务 器 ) © 


可 使 用 hostname 命 令 为 设备 指定 主机 名 。 该 命令 通常 在 启动 脚本 中 运行 ， 脚 本 中 包含 从 配置 
文件 读 取 的 主机 名 。 


ifconfig : 配置 网 络 接口 : 


ifconfig 打 开 或 关闭 网 络 接 口 ， 设 置 |P 地 址 与 子 网 掩 码 ， 以 及 其 他 选项 和 参数 。 通 常 在 启动 时 
通过 命令 行 从 配置 文件 中 读 取 参数 来 运行 ， 但 也 可 以 手动 运行 以 做 修改 。 


ifconfig 命 令 格 式 如 下 
ifconfig interface [family] address options... 
例如 


ifconfig eth0 192.168.1.13 netmask 255.255.255.0 up 


为 eth0 设 置 IPv4 地 址 与 子 网 掩 码 ， 并 将 该 接口 准备 好 供 使 用 。 大 乡 数 系统 中 ，ifconfig -a 列 
出 系统 的 网 络 接 口 以 及 当前 设置 。 


family 参 数 告诉 ifconfig 配 置 的 是 哪 一 种 网 络 协议 。 用 户 可 以 对 一 个 接口 设置 多 个 协议 并 同时 
使 用 ， 但 必须 分 开 配 置 。|Pv4 选 项 为 iInet > IPv63& 5$ A inet6 » 48 Ainet » 


address 和 参数 指定 接口 的 |P 地 址 。 也 可 以 使 用 主机 名 ， 但 该 主机 名 必须 能 在 启动 时 解析 为 IP 地 
+ 。 对 于 设备 的 主 接 口 来 说 ， 这 意味 着 主机 名 必须 出 现在 本 地 hosts 文 件 中 ， 因 为 其 他 解析 方 
式 依 赖 于 已 被 初始 化 的 网 络 。 


关键 字 up 将 接口 打开 ，down 将 其 关闭 。 
netmask 74 4 420 ix E T PuH& AB © 
broadcast 选 项 为 接口 指定 IP 广播 地 址 。 
route : 配置 静态 路 由 : 


route 命 令 指 定 静 态 路 由 ， 指 明 该 路 由 表 项 永远 不 会 更 改 ， 即 使 运行 路 由 进程 。 当 在 本 地 网 络 
中 添加 新 的 设备 时 ， 通 第 仅 需 要 指定 默认 路 由 。 


这 里 有 两 种 情况 : 一 ， 当 报 文 目的 地 址 是 直 连 网 络 上 的 某 台 主机 时 ， 路 由 表 中 的 “next-hop 
gateway” 是 本 地 主机 自己 的 一 个 接口 ， 报 文 直接 发 送 到 目的 地 ， 这 时 可 在 配置 接口 时 

用 ifconfig 命 令 将 路 由 添加 到 路 由 表 中 。 二 ， 可 能 没有 与 目的 地 址 相 匹 配 的 路 由 ， 这 时 ， 局 用 
默认 路 由 ， 和 否则 ， 返 回 ICMP*“network unreachable” 或 “host unreachable” 信息 给 发 送 方 。 很 
多 本 地 网 络 只 有 一 个 出 口 ， 所 以 只 需 配 置 指 向 出 口 的 默认 路 由 。 


每 一 条 route 命 令 添加 或 删除 一 条 路 由 。 如 下 route 命 令 原型 几乎 适用 于 每 一 Linux 版 本 : 
# route add -net 192.168.45.128/25 zulu-gw.atrust.net 


该 命令 通过 网 关 路 由 器 zulu-gw.atrust.net 添 加 一 条 到 192.168.45.128/25 网 络 的 路 由 。 通 常 ， 
网 关 路 由 器 是 相 邻 主机 或 本 地 主机 的 一 个 接口 (Linux 要 求 在 网 关 地 址 前 加 上 gw 选项 
Z) 。route 命 令 必 须 能 够 将 zulu-gw.atrust.net 解 析 成 I|P 地 址 。 


Ubuntu 网 络 配置 


如 下 图 所 示 ，Ubuntu 在 /etc/hostname 以 及 /etc/network/interfaces， 以 
及 [etc/network/options 中 配置 网 络 信息 。 


File a "What's set there 


EE RUNE ae y 


hostname Hostname 
network/interfaces IP address, netmask, default route 











主机 名 在 /etc/hostname 中 设置 。 很 多 场景 都 要 用 到 这 一 文件 中 配置 的 名 字 ， 茶 些 情况 下 对 
命名 是 有 限制 要 求 的 。 


pene ， 网 络 掩 码 ， 上 默认 网 关 在 letc/network/interfaces 7 E ° Viiface X 4 FA 3: 8] —4T 
绍 了 各 个 接口 。iface 之 后 的 缩 进行 指明 附加 参数 。 例 如 : 


la s, i^ 
to lo eth0 
u Wm g | k " um FR ai | 
d L Lm a - |I | el 四 n è = im E 
" i * " 
F4 EL i E fF | " E + "4 ux 
lid [1l a ii ii (d 


= a 4 a" m 5 [1^7 aa i = all | ri ay | 
address 192.168.1.102 
za zo d NES dis m la P. z E "h T C = C = P 
netmask z55.2»55.255.U 


"T^ Ia OO 1£0 4 OCA 
gateway L3z.106. 1.294 


ucla 令 会 读 取 该 文件 并 通过 调用 下 层 命令 fcontg, 并 配 以 合适 的 参数 将 接 
连通 或 断 开 。auto 语 名 指定 启动 时 默认 或 ifup -a 运行 时 的 连通 接口 。 


iface 行 中 的 inet 关 键 字 是 ifconfig 中 使 用 的 地 址 。 关 键 字 static 表 示 一 种 “方式 ”， 指 eth0 的 IP 地 址 
和 网 络 掩 码 是 直接 指定 的 。 地 址 和 网 络 掩 码 行 要 求 静态 配置 ，gateway 行 指明 默认 网 关 ， 用 于 
安装 默认 路 由 。 


SUSE 网 络 配置 


SUSE 用 户 可 以 选择 NetworkManager 或 是 传统 的 配置 side n P 0 o 也 
可 以 使 用 YaST GUl 来 配置 传统 系统 。 这 里 ， 我 们 介 方式 。 除 了 配置 网 络 接口 以 外 ， 
YaST 也 提供 letclhosts 3x fF » $$ A% th > DNSE E 的 poe o 下 图 显示 了 底层 的 配置 文件 。 








File What's set there 

ifcfg-interfoce Hostna me, IP address, netmask, and more 
ifroute-interface |nterface-specific route definitions 

routes Default route and static routes for all interfaces 
config Lots of less commonly used network variables 


除了 DNS 参数 以 及 系统 主机 名 之 外 ，SUSE 将 大 多 数 网 络 选项 配置 在 /etc/sysconfig/network 
目录 下 的 ifcfg-interface 文 件 。 每 一 个 接口 呈现 一 个 文件 。 


除了 指定 接口 的 IP 地 址 ， 网 关 ， 以 及 广播 信息 ，ifcfg-* 文 件 可 以 配置 很 多 其 他 网 络 选 
项 。ifcfg.template 文 件 对 很 多 参数 有 清楚 的 注释 。 以 下 图 为 例 : 


BOOTPROTO='static’ # Static is implied but it doesn't hurt to De vi nerves 
PADDR= 192.168.1.4/24 # Th defines the NETWORK and i NE TM SR vars 
NAME= AMD PCnet - Fast 79971 # Used to start and stop the int erfac 
STARTMO auto # Start automaticall boo! 

USERCONTROL- no & Disable control through kinternet/cint at GU] 


SUSE 系 统 中 全 局 静态 路 由 信息 ( 包括 默认 路 由 ) 存储 在 routes 文 件 中 。 文 件 中 的 各 行 就 好 
象 route 人 命令 省 略 了 选项 名 ， 内 容 包含 目标 地 址 ， 网 关 ， 撼 码 ， 接 口 以 及 可 选 参 数 存 储 在 路 由 
表 中 ， 供 路 由 进程 查询 。 对 于 上 述 仅 有 默认 路 由 的 主机 来 说 ， 路 由 文件 包 念 以 下 内 容 : 


default 192.168.1.254 - - 


针对 不 同 接口 的 路 由 保存 在 ifroute-interface 文 件 中 ， 接 口 部 件 的 命名 方法 与 ifcfg-* 文 件 一 
久 。 其 内 容 格 式 与 routes 文 件 相 同 。 


Red Hat) 482 à 


Red Hat 网 络 配置 GUI 名 — network > «^. *[ 438 3t Network e F t 49 System- 
a 问 。 该 工具 为 配置 网 络 接口 与 静态 路 由 提供 了 一 个 简单 的 Ul， 也 提供 
建立 |Psec 通 道 ， 配置 DNS， 添 加 /etc/hosts 的 面板 。 


下 表 列 出 了 GUI 编辑 的 底层 文件 。 可 在 /etc/sysconfig/network 中 设置 机 器 的 主机 名 ， 也 包括 
DNS 域名 以 及 默认 网 关 。 


File What's set there 
network Hostname, default route 
static-routes 5tatic routes 


network-scripts/ifcfg-ifname — Per-interface parameters: IP address, netmask, etc. 


例如 ， 以 下 是 某 个 以 太 网 接口 的 network 文 件 : 


NETWORKING =yeS 
NETWORKII IG IF IPS PV6-nc 
HOS TNAME-redh. | aa anch.com 
DON IAINNA ME: m aient mal itt optional 
GATEWAY=192.168.1.254 


接口 相关 的 数据 存储 在 letc/sysconfig/network-scripts/ifcfg-ifname > ifname< IW 47 € 69 
名 字 ， 该 文件 为 每 个 接口 设置 IP 地 址 ， 掩 码 ， 网 络 ， 以 及 广播 地 址 。 也 和 包含 指明 接口 是 否 要 
在 启动 时 开户 


常规 机 器 有 配置 以 太 网 接口 以 及 回环 接口 的 文件 ， 例 如 


| Sp Gum. em Ed -in 
EV TC rat] LI 
um - "m Ea 


Fa FA 


a 


IPADDR=197.168.1.15 
NETMASK=755.255.255 
NETWORK- 122. 168.1 0 
BRO AD JCAST 155.1.7 
ONBOOT wes 


以 及 


7 T. | s Fi k i] Ex E es a 
[IPADDR=1/ 7.0.0.1] 


NETMASK=255.0.0.0 
NETWORK-127.0.0.0 
BROADCAST -127 255.255.255 


ONBOOTzves 
NAME=loopback 


基于 DHCP 的 echo 文 件 更 加 简单 : 


DEVICE=ethd0 

T gt r= p^ em Ff i ois 
HOC | E KL i Uz anc D 
i , Tr i^ 78 78 B i 
ONBOOT -Vye» 


在 /letc/sysconfig 文 件 中 更 改 配 置信 息 之 后 ， 对 相应 端口 运行 ifdown ifname > ifup ifname ° 
如 果 一 次 配置 多 个 端口 ， 使 用 命令 service network restart 重 置 整个 网 络 。 这 其 实 是 运 
行 /etc/rc.d/init.d/network 的 一 个 快速 的 方法 ， 每 次 启动 时 被 调用 ， 加 上 start 参 数 。 


也 可 以 通过 启动 脚本 来 配置 静态 路 由 ， 添 加 到 /etc/sysconfig/static-routes 文件 的 路 由 信息 
在 启动 时 被 存 入 路 由 表 。 这 些 表 项 为 route add 命 令 指定 参数 : 


sh not 1205 22C 9n AR napmmaal ICC OCC OCC 242 2,.99C 904 4C 
eth net 130.275.704.435 netmask 255.255.755.248 gw 130.225.204 

= zx E = i ( ^" 二 "i j i" à P ee r4 ula I 1 a " a || "n a [ eje ommo A n ^" *» (0 B 9^ de 

ethi net 192.38.8.0 netmask 255.255.255.224 ew 192.38.8.125 


首先 列 出 的 是 接口 ， 但 它 实际 上 是 在 route 命 令 行 的 最 后 执行 ， 将 路 由 与 指定 接口 相关 联 。 
(也 可 以 在 GUI 中 看 到 该 架构 ， 路 由 作为 部 分 设置 内 容 配 给 各 个 接口 ) 。 命 令 剩 下 的 内 容 包 

含 route 参 数 。 上 文静 态 路 由 的 例子 会 产生 如 下 命令 : 

route add -net 130.225.204.48 netmask 255.255.255.248 gw 130.225.204.49 eth0 

route add -net 192.38.8.0 netmask 255.255.255.224 gw 192.38.8.129 eth1 


网 络 基本 功 (十 三 ) : 细 说 Linux 网 络 配置 (下 ) 


转载 请 在 文 首 保 留 原文 出 处 : EMC 中 文 支 持 论 坛 https://community.emc.com/go/chinese 





本 文 承接 细 说 Linux 网 络 配置 (上 ) œ 


更 多 信息 
Linux 网 络 硬件 选项 


ethtool 命 令 查询 并 设置 网 络 接口 关于 媒体 相关 的 参数 。 如 : 链 路 速度 和 双 工 。 它 代替 了 以 前 
的 mii-tool 命 令 ， 但 有 些 系 统 中 两 者 并 存 。 


只 要 简单 加 上 接口 名 就 可 以 查询 它 的 状态 。 例 如 ，eth0 接 口 (PC 主板 的 网 卡 接口 ) BATA 
EAH ELEAF ERA: 


ubuntus ethtool ethod 
settings for etho 
Supported ports: [ TP MII | 
Supported link modes: 10baseT/Halt 10baseT/Full 
100baseT/Half 100baseT/Full 
1000baseT/Half 1000baseT/Full 
Supports auto-negotiation: Yes 
Advertised link modes: 10baseT/Halt lübaseT/Full 
100baseT/Half 10O0baseT/Full 
1000baseT/Half  1000baseT/Full 
Advertised auto-néepotiation: Yes 
Speed: 1000Mb/s 
Duplex: Full 
Patt: MII 
PHYAL: U 


Transceiver: internal 
Auto-negotiation: on 


Supports Wake-on: pumbg 

Wake-on: E 

Current RNC level: OxO0OO00S3 (51) 
Link detected: yes 


将 该 接口 锁定 在 100 Mb/s 全 双 工 ， 使 用 以 下 命令 


ethtool -s ethO speed 100 duplex full 


如 果 想 知道 自 协 商 在 系统 中 是 否 可 算 ， 也 可 以 使 用 ethtool 一 r 命 令 ， 可 使 链 路 参数 立刻 重新 协 
商 Oo 


另 一 个 有 用 的 选项 是 -k， 显 示 哪 些 协议 相关 任务 指定 给 网 络 接口 ， 而 不 是 由 内 核 执 行 。 大 多 数 
接口 能 够 计算 校 验 和 (checksum) ， 一 些 也 可 以 辅助 分 段 任 务 。 ennai -Kér 44 
合 多 个 子 选 项 开启 或 禁用 特定 类 型 的 offloading (-k 显 示 当 前 值 ，-K 对 其 进行 设置 ) o 


通 eese iain 更 是 暂时 的 。 如 果 和 希望 永久 性 更 改 ， 需 要 确保 ethtool 作 为 系统 网 络 配置 
的 一 部 分 米 运 行 。 最 好 是 把 它 作 为 各 个 接口 配置 的 一 部 分 ， 如 果 你 只 是 在 启动 时 运行 一 些 
ethtool4 4 > pM 在 接口 重启 而 系统 未 重启 时 配置 就 无 法 正确 生效 。 


à : Red Hat 系 统 中 ， 可 以 在 /etc/sysconfig/network-scripts. ifup 下 的 配置 文件 中 添加 一 行 
ETHTOOL OPTS=， 以 将 整 行 作为 参数 传递 给 ethtool。 


SUSE 中 ethtool 的 用 法 与 Red Hat 相 似 ， 但 是 选项 名 为 ETHTOOL _ OPTIONS， 配 置 文件 保存 
在 /etc/sysconfig/network ^ 


Ubuntu 系统 中 ， 可 以 在 /etc/networkjinterfaces 的 接口 配置 脚本 中 运行 ethtool 命 令 。 
Linux TCP/IP 7j 


Linux 将 每 个 可 调 内核 变 量 放 在 /proc 庶 拟 文件 系 统 中 。 网 络 变量 位 于 /procl/sys/netjipv4。 以 
下 十 一 些 重 要 变量 的 列表 : 


buntu$ ed /proc/sys/net/ipv4; ls -F 


LL. -—- v, m y 
cont/ LCD ge i] cp orpha | 
- F Li E 
HI ri | Lp [ile ( i L [! E 
EL FT] D CD. 3 Lu "E iil A IE [ 
Pili. T | T j | 
ha p 4 -上 
np ratelimut cp lack "n E 
"E | 
gua ~ ls " i s 
l | | Epa 3A CD. T | ] 1 D | 
| | E Lu rie Fri cr 7 "y Pry 1 | 
25b 48 EL E TT Et NR - cl. = M kB 
Emi max_msi cpi espor P- 
^i r- =i Zr Tm Tif] 关门 i al 1 nta 
l I [Ila ALL } f Py Lik we 
let peer gc muni CD live rope L iul 
"i " s] " | " r F 
L peer maxtti CE palive Lm LCD. Synaci tri 
i a 
it peer mintt! "m iter | vi 
n Lou 
x A | | =j -- = a m T 1 
| Ded i H. A CA Uia | | 
i J 
üaerauit. LCD Ix. SSiN | -un imps 
 dynadd: cp max syn baci 
Price RU freee eot Rn CAU ie a a oes M m a 
IT Y rid i | Mias Ait OU I [5 Li n [Th ITI 
i 
| 
CD. dun. | 
r * r i i 
| D nm ]eI rewt LIFT VT r 


Z4, T Frit i "rose m 
CL ITI A ers uv LÁARS d E. 


许多 名 字 中 人 金 有 rate 和 max 的 变量 用 作 阻 止 服务 器 攻击 。 子 目录 conf 包 人 钨 按照 各 接口 设置 的 变 
量 ， 包 括 all 和 default 以 及 各 接口 子 目 录 (包括 loopback) 。 各 子 目 录 包 含 相 同 的 一 组 文件 。 


ub i$ cd conf/default; ls -F 


Sy cm gm | - m m = = = ad " jJ anm 1 | - = m » Iu" Wem weg = a © = = a m = m ; = 
CC "apa edirects disable policy promote secondarie 
= m , E f kl T h] = TI. F w^.y f | 
it JU SUUILC | | 3 uc AIIIII r Ay iII 
Irp acce force rgmrnp versior p filter 

pm m ERI We - mu = =i a m = = È 
arp_announci orwarding |Ire redirects 
arp. iuitel og Martians send, Tedirects 

oa P Fi = 1 

rp enore mc_torwardine shat dia 
bootp_relay medium_id ag 


假设 用 户 在 conf/leth0 子 目录 中 更 改 了 一 个 变量 ， 则 变更 仅 适 用 Lian o te Jk f£ conf/all 中 
更 改 了 变量 值 ， 你 也 许 认为 更 改 适 用 于 所 有 接口 ， 但 实际 上 并 非 如 此 。 3 lab 


通过 all 所 作 的 更 改 有 各 自 的 规则 。 有 些 是 与 当前 值 做 或 运算 ， liso Hs 还 有 些 是 取 
最 大 或 最 小 值 。 除 了 内 核 代 码 以 外 没有 文档 详细 说 明 这 bs sep 文 样 做 ， 比 较 


好 的 做 法 是 对 各 接口 分 别 做 修改 。 
如 果 用 户 在 confldefault 中 修改 了 变量 ， 新 的 值 会 传递 到 所 有 在 这 之 后 配置 的 接口 。 另 一 方 
面 ， 最 好 保持 默认 值 不 变 ， 以 供 取 消 更 改 时 参考 。 


Iproc/sys/net/ipv4/neigh 目录 同样 包含 了 各 接口 子 目 录 。 子 目录 中 的 文件 学 控 相 应 接口 的 
ARP table 管 理 以 及 IPv6 邻 居 发 现 。 以 下 是 变量 列表 ， 以 gc (代表 垃圾 回收 ) 开头 的 变量 决定 
ARP table 表 项 超时 以 及 丢弃 。 


ubuntu$ cd neigh/default; ls -F 


anycast delay ec stale time Droxy delay 
EF T Ul 
ADI] tres Ay kd 

: Hes hre — " 

Loe p SL LIE t 1 uec _ £0) = 
ba chat Ime. 万 2C thres ans time m 

LI - 

dacidV il LITI LITI J IL] 


要 查看 变量 值 ， 使 用 cat 命 邻 ， 要 进行 设置 ， 使 用 echo 重 定向 到 合适 的 文件 名 。 例 如 


ubuntu$ cat icmp echo ignore broadcastsO 


显示 当 变 量 值 为 0 时 ， 则 广播 ping 不 能 被 忽略 。 要 将 它 设置 为 1， 在 Iprocisys/net 中 ， 运 行 


Ubuntu$ sudo sh -c "echo 1 &gt; icmp echo ignore broadcasts" 


通常 ， 你 登录 的 网 络 与 调整 的 网 络 是 同一 个 ， 所 以 要 小 心 行事 。 在 更 改 生 产 设备 配置 前 务必 
在 台式 机 上 测试 。 


€ 性 〈 更 准确 的 说 ， 系 统 每 次 局 动 时 都 重 置 该 值 ) ， 在 /etc/sysctl.conf 中 添加 

适 的 变量 ， 这 些 变 量 在 启动 时 由 Sysctl 命 令 读 取 。 文 件 sysctl.conf 的 格式 是 变量 名 = 值 ， 
而 py 中 修改 的 格式 echo value > variable » € € £485 T/proci/sys% % 4 > 
PVA RRL © df] des: 


letc/sysctl.conf 文件 中 ， 


net.ipv4.ip_forward=0 
net/ipv4/ip_forward=0 


都 会 将 主机 IP 转发 关闭 。 


同时 ， 内 核 源 版 本 中 的 ip-sysctl.txt 文 件 也 有 一 些 比 较 好 的 注释 信息 。 


Unix and Linux System Administration Handbook 


网 络 基本 功 (十 四 ) : 细 说 诊断 工具 ping 


转载 请 在 文 首 保 留 原文 出 处 : EMC 中 文 支 持 论 坛 https://community.emc.com/go/chinese 





ping 的 工作 原理 很 简单 ， 一 人 台 网 络 设备 发 送 请 求 等 待 另 一 网 络 设备 的 回复 ， 并 记录 下 发 送 时 
间 。 接 收 到 回复 之 后 ， 就 可 以 计算 报 文 传输 时 间 了 。 只 要 接收 到 回复 就 表示 连接 是 正 第 的 。 
耗费 的 时 间 喻 示 了 路 径 长 度 。 重 复 请 求 响 应 的 一 致 性 也 表明 了 连接 质量 的 可 靠 性 。 因 此 ，ping 
回答 了 两 个 基本 的 问题 : 是 否 有 连接 ?连接 的 质量 如 何 ? 本 文 主要 讨论 这 两 个 问题 。 


更 多 信息 


diggin 息 ，ECHO_REQUEST 和 ECHO_REPLY。 理 论 
上 ， 所 有 TCP/IP 网 络 设 备 都 应 当 通 过 返回 报 文 来 响应 ECHO_REQUEST， 但 实际 上 并 不 总 是 
如 此 。 


ping 的 解析 : 


多 数 操作 系统 版 本 ， 会 一 直 发 送 ECHO_REQUESTS， 直 到 中 断 为 止 。 例 如 


bsdi# ping www.bay.com 
PING www.bay.com (204.80.244.66): 56 data bytes 
64 bytes from 204.80.244.66: icmp seq-0 ttl-112 time-180.974 ms 
64 bytes from 204.80.244.66: icmp seq-1 ttl-112 time-189.810 ms 
64 bytes from 204.80.244.66: icmp seq-2 ttl-112 time-167.653 ms 
^C 

- www.bay.com ping statistics --- 
3 packets transmitted, 3 packets received, 0% packet loss 
round-trip min/avg/max/stddev - 167.653/179.479/189.810/9.107 ms 
bsd1# 


一 过 程 被 Ctrl-C 中 断 ， 此 时 打印 出 汇总 统计 。 


上 述 结果 中 ， 针 对 每 一 个 报 文 的 回复 给 出 了 报 文大 小 ， 来 源 ，ICMP sequence number > TTL 
值 ， 以 及 往返 时 间 。 其 中 ，sequence number 和 人 往返 时 间 对 于 评估 基本 连接 状况 来 说 是 最 有 
用 的 信息 wx 


当 发 送 一 个 ECHO REQUEST} > 44 A iX BT i] Md rend 并 复制 到 远 端 主机 相应 的 
ECHO_REPLY 报 文中 。 当 接收 到 ECHO_REPLY 时 ， 通 过 比较 当前 时 间 与 报 文 时 间 计 算出 耗 
费时 间 。 如 果 没 有 收 到 符合 该 Sequence ae ， 则 认为 该 报 文 丢 失 。 耗 费时 间 长 短 
以 及 变化 范围 取决 于 中 间 链 路 数量 ， 速 度 ， 以 及 链 路 拥 紧 情况 。 


是 合理 的 呢 ? 这 一 值 高 度 取决 于 网 络 以 及 网 络 质 量 。 如 果 是 在 LAN 网 络 环境 下 ， 响 应 
时 间 还 是 很 快 的 ， 通 第 在 十 几 毫 秒 范围 之 内 。 如 果 连 接 到 外 网 则 该 值 会 显 着 增加 。 如 果 是 远 
FEIRA > TRASH ELA SH o 


你 也 可 以 用 ping 来 粗略 计算 连接 的 吞吐 量 。 在 外 网 上 发 送 两 个 不 同 大 小 的 报 文 ， 通 过 -S 选 项 来 
完成 。 时 间 长 度 的 差别 会 反映 大 报 文中 额外 数据 所 耗费 的 时 间 。 例 如 ， 假 设 ping 100 F Y 3€ ie 
30ms 而 ping 1100 字 节 耗 费 60ms， 因 此 ， 往 返 额 外 花费 30ms 单 程 额外 花费 15ms， 多 发 送 
1000 字 节 或 8000 比 特 。 吞 吐 量 近 似 为 每 15ms 8000 比 特 或 540，000bps。 两 个 测量 值 之 间 的 
差异 用 来 扣除 开销 。 当 然 这 一 估算 是 非常 粗略 的 ， 没 有 考虑 到 路 径 上 其 他 数据 流 的 情况 ， 也 
没有 考虑 路 径 上 所 有 链 路 的 情况 。 


TTL 和 貌似 可 以 估算 一 条 路 径 上 的 跳 数 ， 但 是 这 有 一 些 问题 。 当 发 送 报 文 时 ，TTL 人 字段 先 被 初始 

化 接着 经 过 路 径 上 每 个 路 由 器 都 要 递减 。 如 果 达 到 0， 报 文 就 被 丢弃 了 。 从 而 对 所 有 报 文生 命 

周期 有 一 定 限 制 。 因 而 在 路 由 回环 的 过 程 中 ， 报 文 不 会 无 期 限 和 存在 于 网 络 上 。 不 幸 的 是 ，TTL 

ogee 也 可 能 不 会 被 远 端 设备 重 置 ， 如 果 重 置 ， 也 没有 一 臻 性。 因此， 要 使 用 TTL 字 上 段 
算 路 径 中 的 跳 数 需要 知道 详细 的 系统 信息 。 


一 串 稳定 的 回复 意味 着 健康 的 连接 。 如 果 报 文 丢 失 或 去 弃 ， 可 以 在 sedquence number? 
看 到 跳 数 ， 以 及 丢失 报 文 的 编号 。 偶 尔 丢 失 一 个 报 文 不 表示 丨 的 有 什么 问题 。 特 别 是 跨越 多 
侣 路 由 器 或 拥塞 网 络 时 。 一 个 序列 中 的 一 个 报 文 丢失 或 耗费 明显 更 长 时 间 是 很 正常 的 ， 这 是 
因为 路 径 中 各 条 链 路 需 对 第 一 个 报 文 做 ARP 解 析 。 在 ARP 数 据 保存 之 后 ， 后 续 报 文 就 不 会 有 
文 种 开销 。 但 是 ， 如 果 丢 失 报 文 比例 较 大 ， 则 有 可 能 路 径 上 有 问题 。 


某 些 情况 下 会 收 到 ICMP 错 误 消 息 。 通 第 来 自 路 由 器 ， 这 里 面包 钨 很 有 用 的 人 信息。 例如， 下 例 
中 ， 设 备 尝试 访问 一 个 不 存在 的 网 络 上 的 设备 : 


bsdi# ping 172.16.4.1 

PING 172.16.4.1 (172.16.4.1): 56 data bytes 

36 bytes from 172.16.2.1: Destination Host Unreachable 

Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 

4 5 00 5400 5031 © 0000 fe O01 0e49 172.16.2.13 172.16.4.1 
36 bytes from 172.16.2.1: Destination Host Unreachable 


Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 
4 5 00 5400 5034 0 0000 fe 01 0e46 172.16.2.13 172.16.4.1 


- 172.16.4.1 ping statistics --- 
2 packets transmitted, © packets received, 100% packet loss 


a 览 没有 到 达 该 网 络 的 路 径 ， 所 以 返回 ICMP DESTINATION HOST UNREACHABLE 
信息 。 通 第 如 果 问 题 发 生 在 运行 ping 命 令 的 设备 上 ， 则 会 收 到 Destination Host Unreachable 
告警 或 Destination Network Unreachable 告 警 。 如 果 问 题 发 生 在 转发 报 文 的 设备 上 ， 则 只 会 
收 到 一 条 Destination Host Unreachable ° 


下 例 中 ， 党 试 向 一 台 已 配置 拒绝 从 源 设 备 接收 数据 流 的 路 由 器 发 送 数 据 : 


bsdi# ping 172.16.3.10 

PING 172.16.3.10 (172.16.3.10): 56 data bytes 

36 bytes from 172.16.2.1: Communication prohibited by filter 

Vr HL TOS Len ID Flg off TTL Pro cks Sre Dst 

4 5 00 5400 5618 © 0000 ff O01 0859 172.16.2.13 172.16.3.10 
36 bytes from 172.16.2.1: Communication prohibited by filter 


Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 
4 5 00 5400 561b 0 0000 ff O01 0856 172.16.2.13 172.16.3.10 
^C 


--- 172.16.3.10 ping statistics --- 

2 packets transmitted, © packets received, 100% packet loss 
被 过 滤 条 件 阻止 的 告警 信息 表明 报 文 被 丢弃 。 但 也 有 可 能 过 滤 条 件 不 显示 该 告警 。 
ete 

bsdi# ping 172.16.3.10 

PING 172.16.3.10 (172.16.3.10): 56 data bytes 

AC 

--- 172.16.3.10 ping statistics --- 

6 packets transmitted, © packets received, 100% packet loss 


路 由 器 上 使 用 同样 的 过 滤 条 件 ， 但 应 用 于 离开 网 络 的 数据 流 ， 而 不 作用 于 inbound 数 据 流 。 
此 ， 没 有 消息 发 送 。 这 时 ，ping 就 无 法 告诉 你 为 什么 报 文 没有 收 到 回复 。 


ping 的 选项 : 


些 选项 控制 发 送 报 文 的 速 举 和 数量 ，-C 选 项 允许 用 户 指 定 发 送 报 文 的 数量 。 例 如 ，ping 一 
c10 会 发 送 10 个 报 文 然后 停止 。 这 一 命令 在 脚本 中 很 有 用 处 。 


命令 -f 和 -| 用 于 将 报 文 泛 洪 到 网 络 上 。-f 选 项 表明 报 文 发 送 速率 与 接收 主机 能 够 处 理 速 认 相同 。 
这 一 参数 可 用 于 链 路 压力 测试 或 接口 性 能 比较 。 


-| 选项 用 于 计数 ， 尽 可 能 快 的 发 送 该 数量 报 文 ， 然 后 恢复 正常 。 该 命令 用 于 测试 处 理 泛 洪 的 能 
力 ， 需 要 root 权 限 执 行 。 


-i 选项 用 于 用 户 在 两 个 连续 报 文 之 间 指 定 等 待 秒 数 。 该 命令 对 于 将 报 文 间 隔 开 或 用 在 脚本 中 非 
第 有 用 。 正 常情 况 下 ， 偶 然 的 ping 包 对 数据 流 的 影响 是 很 小 的 。 但 重复 报 文 或 报 文 泛 洪 影响 就 
很 大 了 。 因 此 ， 使 用 以 上 选项 时 需 谨 懂 。 


-n 选 项 将 输出 限制 为 数字 形式 ， 这 在 碰见 DNS 问题 时 很 有 用 。-V 显 示 更 详尽 输出 ， 较 少 输出 
7 -qfe-Q ° 


-S 选 项 指定 发 送 数据 的 大 小 。 但 如 果 设 置 的 太 小 ， 小 于 8， 则 报 文中 就 没有 空间 留 给 时 间 和 戳 
了 。 设 置 报 文大 小 能 诊断 有 路 径 MTU(Maximum Transmission Unit) 设 置 或 分 段 而 导致 的 问 
题 。 如 果 不 使 用 该 选项 ，ping 默 认 是 64 衬 节 。 


参考 


Network Troubleshooting Tools 


网 络 基本 功 (十 五 ) : 细 说 网 络 性 能 监测 与 实例 





网 络 路 径 性 能 检测 主要 包括 三 方面 的 内 容 : 带宽 测量 能 够 获知 网 络 的 硬件 特性 ， 如 网 络 的 最 
大 容量 ， 知 吐 量 测量 能 够 获得 网 络 实际 可 提供 的 最 大 容量 ， 数 据 流 测量 能 够 了 解 莫 实 占 用 的 
网 络 容量 。 

J 


本 文 介绍 在 评估 网 络 性 能 是 否 合理 时 ， 需 要 收集 的 数据 及 收集 方式 。 涉 及 工具 包括 : ping, 
pathchar, bing, ttcp, netperf, iperf, netstat ° 


更 多 信息 
带 完 测量 
ping 


ping 这 一 工具 返回 的 时 间 ， 虽 然 通常 被 描述 为 传输 延 时 ， 实 际 上 是 发 送 ， 传 输 ， 队 列 延 时 之 
和 。 上 一 节 中， 我 们 通过 ping 来 粗略 计算 带宽 。 这 一 过 程 可 通过 如 下 方式 改进 : 首先 计算 链 路 
近 端 的 路 径 行为 ， 然 后 计算 远 端 路 径 ， 然 后 用 两 者 差异 来 估算 链 路 带宽 。 


Router Router Router — Router 
Link of 
interest 


Traffic to near end of link : 


Traffic to far end of link | 
beer mere mem eun em om mm om me m esca n m mm om e m caca m soa n mosca mosca on rosca ce caca m rac cn aca 


这 一 过 程 需 要 四 次 使 用 ping。 首 先 ， 用 两 个 不 同 大 小 报 文 ping 近 端 链 路 。 减 挥 传输 大 报 文中 额 
外 数据 的 传输 时 间 以 外 ， 时 间 差 可 估算 传输 以 及 队列 延 时 。 接 下 来 ， 用 同样 两 个 报 文 ping 远 端 
链 路 。 册 次 用 大 报 文 和 小 报 文 的 时 间 差 来 估算 开销 。 最 后 ， 用 两 次 差 值 的 差 值 就 是 在 最 后 一 
段 链 路 中 传输 额外 数据 的 时 间 值 。 这 是 一 个 往返 时 间 ， 除 以 2 就 是 额外 数据 在 单 向 链 路 传输 所 
用 时 间 。 带 守 则 是 额外 数据 总 量 除 以 单 向 传输 时 间 。 


下 表 是 第 二 跳 和 第 三 跳 的 时 间 值 ， 报 文大 小 为 100 和 1100 字 节 。 


IP address Time for 100 bytes Time for 1100 bytes 


205. 153. 61. 1 1.360 ms 4.309 ms 
205. 153. 60. 2 i. 985 ms 12. 823 m: 
np ge 17 m] mno De 7 
165. 166. 36. 1i G. 02l ms 20. (13 ms 


下 表 显 示 了 带宽 计算 结果 ， 用 time difference 除 以 2， 用 8000bit 除 以 这 个 值 ， 再 乘 1000 (Z4 
转换 为 秒 ) 。 结 果 是 bps 转 换 为 Mbps。 


Hear link Far link Time difference Fstimated bandwidth 

205. 153. 61. 1 205. 153. 60. 2 3. 413 ms 4. 69 Mbps 

209. 153. 60. 2 165. 166. 36. Li 10. 254 ms 1.96 Mbps 
pathchar 


将 上 述 过 程 目 动 话 完成 的 一 个 工具 是 pathchar。pathchar 在 路 径 的 一 端 即 能 检测 各 链 路 的 带 
宽 。 方 法 与 之 前 描述 的 ping 相 类 似 ， 但 是 pathchar 使 用 各 种 大 小 不 一 的 报 文 。 如 下 例 所 示 : 


bsdi# pathchar 165.166.0.2 

pathchar to 165.166.0.2 (165.166.0.2) 

mtu limited to 1500 bytes at local host 

doing 32 probes at each of 45 sizes (64 to 1500 by 32) 
0 205.153.60.247 (205.153.60.247) 

| 4.3 Mb/s, 1.55 ms (5.88 ms) 

1 cisco (205.153.60.2) 

| 1.5 Mb/s, -144 us (13.5 ms) 

2 165.166.36.17 (165.166.36.17) 

| 10 Mb/s, 242 us (15.2 ms) 

3 e0.r01.1ia-gnwd.Infoave.Net (165.166.36.33) 
| 1.2 Mb/s, 3.86 ms (32.7 ms) 

4 165.166.125.165 (165.166.125.165) 
| 2? b/s, 2.56 ms (37.7 ms) 

5 165.166.125.106 (165.166.125.106) 
| 45 Mb/s, 1.85 ms (41.6 ms), +q 3.20 ms (18.1 KB) *4 

6 atm1-0-5.r01.ncchrl.infoave.net (165.166.126.1) 

| 17 Mb/s, 0.94 ms (44.3 ms), +q 5.83 ms (12.1 KB) *2 

7 h10-1-0.r01.ia-chrl.infoave.net (165.166.125.33) 

| 22 D7 S, 89 us (44.3 ms), 1% dropped 

8 dnsi.InfoAve.Net (165.166.0.2) 

8 hops, rtt 21.9 ms (44.3 ms), bottleneck 1.2 Mb/s, pipe 10372 bytes 


ke 


pathchar 的 运行 过 程 中 ， 首 先 显 示 的 信息 描述 探测 如 何 进 行 。 从 第 三 行 输出 开始 ， 可 看 到 
pathchar 使 用 从 64 到 1500 字 节 的 45 中 不 同 大 小 报 文 。 对 于 每 一 跳 使 用 32 种 不 同 报 文 组 合 进行 
测试 。 因 此 ， 共 8 跳 生 成 了 11，520 个 测试 报 文 加 上 相应 回复 信息 。 


显示 中 给 出 了 带宽 和 延 时 。pathchar 也 包括 了 队列 延 时 信息 〈 如 本 例 中 5 和 6) 。 如 上 述 信 


息 ，pathchar 并 不 总 是 能 成 功 估 算出 带宽 (如 链 路 4 和 7) 或 是 延 时 〈 如 链 路 1) o 
在 pathchar 运 行 过 程 中 ， 每 发 送 一 个 报 文 就 启动 一 次 倒计时 : 显示 内 容 如 下 所 示 : 
1: 31 288 © 3 


1 指示 跳 数 并 且 随 独 路 径 上 后 续 跳 数 而 增加 。 下 一 个 数字 十 倒计时 值 ， 给 出 这 一 链 路 剩余 的 探 


测 组 数 。 第 三 个 值 是 当前 发 送 报 文 大 小 。 第 二 个 和 第 三 个 值 改 变 都 非常 迅速 。 倒 数 第 二 个 值 
是 目前 为 止 丢弃 报 文 数 ， 最 后 一 个 是 该 链 路 的 平均 往返 时 间 。 


条 的 探测 完成 时 ， 这 一 行 
ii 延 时 来 改进 带宽 估算 


被 带宽 ， 传 输 延 时 ， 往 返 时 间 所 取代 。pathchar 使 用 观测 到 


bing 


pathchar 的 一 个 替代 工具 是 bing。pathchar 估 草 的 是 一 条 路 径 上 各 链 路 的 带宽 ， 来 测 


量 点 到 点 的 带宽 。 通 常 ， 如 果 你 不 知道 路 径 上 的 各 条 链 路 ， 需 要 首先 执行 traceroute 命 令 。 之 
后 可 以 运行 bing 来 指定 链 路 的 近 端 和 远 端 。 下 例 显 示 了 第 三 跳 的 带宽 


bsdi# bing -e10 -c1 205.153.60.2 165.166.36.17 


BING 205.153.60.2 (205.153.60.2) and 165.166.36.17 (165.166.36.17) 
44 and 108 data bytes 

1024 bits in 0.835ms: 1226347bps, 0.000815ms per bit 

1024 bits in 0.671ms: 1526080bps, 0.000655ms per bit 

1024 bits in 0.664ms: 1542169bps, 0.000648ms per bit 

1024 bits in 0.658ms: 1556231bps, 0.000643ms per bit 

1024 bits in 0.627ms: 1633174bps, ©.000612ms per bit 

1024 bits in 0.682ms: 1501466bps, 0.000666ms per bit 

1024 bits in 0.685ms: 1494891bps, 0.000669ms per bit 

1024 bits in 0.605ms: 1692562bps, 0.000591ms per bit 

1024 bits in 0.618ms: 1656958bps, 0.000604ms per bit 

--- 205.153.60.2 statistics --- 

bytes out in dup loss rtt (ms): min avg max 
44 10 10 996 3.385 3.421 32051) 
108 10 10 0% 3.638 3.684 3.762 

--- 165.166.36.17 statistics --- 

bytes out in dup loss rtt (ms): min avg max 
44 10 10 0% 3.926 3.986 4.050 
108 10 10 996 4.797 4.918 4.986 


--- estimated link characteristics --- 
estimated throughput 1656958bps 
minimum delay per packet 0.116ms (192 bits) 
average statistics (experimental) 

packet loss: 
average throughput 1528358bps 
average delay per packet 0.140ms (232 bits) 
weighted average throughput 1528358bps 
resetting after 10 samples. 


small 096, 


big 096, 


total 096 


输出 从 地 址 和 报 文 大 小 信息 开始 ， 失 数据 。 最 


后 ， 返 回 一 些 吞 吐 量 的 估 测 值 。 


后 是 探测 pair。 接 下 来 ， 返 回 往 返 时 间 和 丢 


乔 吐 量 测量 


吞吐 量 不 够 的 原因 不 仅 在 于 硬件 不 足 ， 还 有 可 能 是 网 络 设计 架构 的 问题 。 例 如 ， 广 播 域 设置 


das > M] Bp ie se PES ELA, iB ye] Aho MR RAR REHM AB 4L ERLRAXAEGGUEAUS ’ 
这 类 域 隔 离开 或 是 分 段 。 
吞吐 量 通 第 是 测量 大 块 数据 传输 延 时 来 完成 的 。 通 第 需要 在 链 路 各 端 运行 软件 。 一 般 这 类 坎 


件 运行 在 应 用 层 hierniana 


一 个 比较 简单 粗放 的 方式 是 用 FTP。 用 FTP 来 传输 一 份 文件 并 且 看 一 下 它 report 的 数据 。 需 要 


将 结 


141,294,522 F 7 


果 转 换 成 比特 举 ， 例 如 ， 这 


是 文件 传输 的 最 后 一 行 


1294522 bytes received in 1.44 secs (8.8e+02 Kbytes/sec) 


乘 8 转 换 成 bit 之 后 再 除 以 时 间 ，1.44 秒 。 结果 为 7,191,789 bps » 


这 种 方法 的 不 足 在 于 磁 蔓 访问 时 间 可 能 对 结果 造成 影响 。 如 果 需 要 提高 精度 则 需要 使 用 一 些 
工具 。 
ttcp 
运行 这 夺 首 先 需 要 在 远 端 设备 运行 Server， 通 第 用 -r 和 -Ss 选 项 。 之 后 运行 client， 用 -t 和 -Ss 
选项 ， My ole 或 地 址 。 数 据 从 client 端 发 送 至 server 端 ， 测 量 性 能 之 后 ， 在 各 端 返 回 结 
果 ， 之 后 终止 client 端 和 server 端 。 例 如 ，server 端 如 下 所 示 : 

bsd2# ttcp -r -s 

ttcp-r: buflen=8192, nbuf=2048, align=16384/0, port=5001 tcp 

ttcp-r: socket 

ttcp-r: accept from 205.153.60.247 

ttcp-r: 16777216 bytes in 18.35 real seconds = 892.71 KB/sec +++ 

ttcp-r: 11483 I/O calls, msec/call = 1.64, calls/sec = 625.67 

ttcp-r: O.0user 0.9sys 0:18real 5% 151+291d 176maxrss 0+2pf 11478+28csw 

client 端 如 下 所 示 : 


该 程序 报告 中 显示 了 信息 传输 总 量 
throughput > I/O call 信 息 


bsdi# ttcp -t -s 205.153.63.239 


ttcp-t: 
ttcp-t: 
ttcp-t: 
ttcp-t: 
ttcp-t: 
ttcp-t: 


buflenz8192, -» 205.153.63.239 
socket 

connect 

16777216 bytes in 18.34 real seconds = 893.26 KB/sec +++ 

2048 I/O calls, msec/call - 9.17, calls/sec - 111.66 


0.0user O.5sys 0:18real 29; 161+305d 176maxrss 0+2pf 3397-*7csw 


nbuf=2048, align-16384/0, port-5001 tcp 


> 标识 了 连接 的 建立 ， 并 且 给 出 了 结果 ， 包 括 raw data ， 
> 执行 时 间 。 最 有 用 的 信息 应 该 是 transfer rate > 892.71 KB/sec (or 


893.26 KB/sec) ° 


这 一 数据 反映 了 数据 的 传输 速 尘 ， 而 不 是 链 路 的 容量 。 将 这 一 数据 转化 成 带 帘 可 能 是 有 问题 
的 ， 因 为 实际 上 传输 了 比 这 一 值 更 多 的 ie 这 eii $ m 18.3549 4% i$ T 16,777,216 
节 ， 但 是 这 仅仅 是 数据 。 以 太 网 报 文 封装 还 包括 TCP，IP， 以 太 网 报 文 头 ， 估 算 容 量 时 ， 需 
X de ix X648 Jm EX o 


味 着 拥塞， 但 也 并 不 总 是 如 此 。 吞 吐 量 也 会 取决 于 配置 问题 ， 如 连接 的 TCP 


吞吐 量 低 通常 意 
如 果 禄 口 大 小 不 足 ， 会 严重 影响 到 性 能 。 


窗口 大 小 。 


Network Troubleshooting Tools 


网 络 基本 功 (HA) : 细 说 网 络 性 能 监测 与 实例 





网 络 — ' PE Ae J] E OR AY Je] o HR RK HE S DP] eR A OS E f] T SES 28-85 28 
构 但 通过 i$ 1 Auk w Fe ZF i 45 流 测 试 工 具 d 能 够 帮 你 快 速 找到 问题 所 在 * 本 文 承接 上 文 d 
ji] «esten netstat 的 用 法 。 


更 多 信息 
eke E: 
(承接 上 文 ) 
netperf 


该 程序 是 由 HP 创造 ， 该 程序 免费 可 用 ， 运 行 于 一 些 Unix 平 台 ， 有 支持 文档 ， 也 被 移植 到 
Windows 平 台 。 虽 然 不 像 ttcp 那 样 无 处 不 在 ， 但 它 的 测试 范围 更 加 广泛 。 


与 ttcp 不 同 ， 客户 端 和 服务 器 端 是 分 开 的 程序 。 widen 是 netserver， 能 够 单独 启动 ， 或 通过 
inetd 局 动 。 客 户 端 是 netperf。 下 例 中 ， 服 务 器 和 客户 端 语 动 于 同一 台 机 器 : 


bsdi# netserver 

Starting netserver at port 12865 

bsdi# netperf 

TCP STREAM TEST to localhost : histogram 


Recv Send Send 

Socket Socket Message Elapsed 

Size Size Size Time Throughput 
bytes bytes bytes secs. 10^6bits/sec 
16384 16384 16384 10.00 326.10 


i] 1X # x loop-back# v * RE ÈT Ark | A 326Mbps ° 


下 例 中 ，netserver 尼 动 于 主机 : 


bsdi# netserver 

Starting netserver at port 12865 
netperf 加 上 -H 选 项 指定 服务 器 地 址 : 

bsd2# netperf -H 205.153.60.247 

TCP STREAM TEST to 205.153.60.247 : histogram 


Recv Send Send 

Socket Socket Message Elapsed 

Size Size Size Time Throughput 
bytes bytes bytes secs. 10^6bits/sec 
16384 16384 16384 10.01 6.86 


大 致 与 ttcp 所 得 出 的 吞吐 量 相 同 。netperf 还 进行 了 一 些 额 外 的 测试 。 以 下 测试 中 ， 还 计 


接 的 transaction rate : 


bsd2# netperf -H 205.153.60.247 -tTCP_RR 
TCP REQUEST/RESPONSE TEST to 205.153.60.247 : histogram 
Local /Remote 


Socket Size Request Resp. Elapsed Trans. 
Send Recv Size Size Time Rate 
bytes Bytes bytes bytes Secs. per sec 
16384 16384 1 1 10.00 655.84 


16384 16384 


该 程序 包含 一 些 测试 脚本 。 也 可 以 使 用 netperf 做 各 种 流 测 试 。 


iperf 


ey 
Jt 


了 连 


如 果 ttcp 和 netperf 都 不 符合 你 的 要 求 ， 那 么 可 以 考虑 iperf。iperf 也 可 以 用 于 测试 UDP 带 窜 ， 丢 


失 率 ， 和 拉动 。Java 衣 端 让 该 工具 便于 使 用 。 该 工具 同样 移植 入 Windows 。 
下 例 是 运行 jperf 服 务 器 端 : 


bsd2# iperf -s -p3000 


Server listening on TCP port 3000 
TCP window size: 16.0 KByte (default) 


[ 4] local 172.16.2.236 port 3000 connected with 205.153.63.30 port 1133 


[ ID] Interval Transfer Bandwidth 
[ 4] 0.0-10.0 sec 5.6 MBytes 4.5 Mbits/sec 
^C 


Ti E 4 windows3e £5 € P 35 : 


C:N»iperf -c205.153.60.236 

-p3000 

Client connecting to 205.153.60.236, TCP port 3000 
TCP window size: 8.0 KByte (default) 


[ 28] local 205.153.63.30 port 1133 connected with 205.153.60.236 port 3000 


[ ID] Interval Transfer Bandwidth 
[ 28] 0.0-10.0 sec 5.6 MBytes 4.5 Mbits/sec 


ix A Ctrl-C RA EIR 2-25 38 9» HETCPHE KF » iperfáa 4 T'ttcp > Pr ETEA PEP ss sx 
服务 器 。 


at 


在 研究 TCP 窗 口 是 否 足够 大 时 ， 使 用 iperf 特 别 方 便 。-W 选 项 设置 socket buffer X «^ » St PTCP 
来 说 ， 这 就 是 窗口 大 小 。 通 过 -W 选 项 ， 用 户 可 以 单 步调 试 各 种 窗口 大 小 来 看 它们 是 怎样 影响 
吞吐 量 的 。 


其 他 工具 


你 也 许 想 要 考虑 一 些 相 关 或 类 似 的 工具 。treno 使 用 的 方法 类 似 于 traceroute 来 计算 块 容量 ， 路 
径 MTU， 以 及 取 小 RTP。 如 下 例 所 示 : 


bsd2# treno 205.153.63.30 
MTU=8166 MTU-4352 MTU=2002 MTU=1492 .......... 
Replies were from sloan.lander.edu [205.153.63.30] 
Average rate: 3868.14 kbp/s (3380 pkts in + 42 lost = 1.2%) in 10.07 s 
Equilibrium rate: © kbp/s (© pkts in + © lost = 0%) in Os 
Path properties: min RTT was 13.58 ms, path MTU was 1440 bytes 
XXX Calibration checks are still under construction, use -v 


cU 


通常 来 说 ，netperf，iperf 和 treno 提 供 更 加 丰富 的 feature， 但 ttcp 更 加 容易 找到 。 


E 


通过 netstat 进 行 流量 测量 


在 理想 的 网 络 环 境 下 ， a ak A> Boke eRe TP WAY o (he Bok BEE 
低 于 期 望 值 ， 这 种 情况 下 ， 你 会 想 要 知道 差异 在 哪 。 如 之 前 所 提 到 的 ， 可 能 与 硬件 或 软件 相 
关 。 但 通常 是 由 于 网 络 上 其 他 数据 流 的 影响 。 如 果 你 无 法 确定 原因 ， 下 一 步 就 是 查看 你 网 络 
e. 


有 三 种 基本 方法 可 供 采 用 。 第 一 ， 最 快 的 方法 是 使 用 如 netstat 这 样 的 工具 来 查看 链 路 行为 。 
或 通过 抓 包 来 查看 数据 流 。 最 后 ， 可 使 用 基于 SNMP 的 工具 如 ntop。 


要 得 到 网 络 上 数据 流 的 快照 ， 使 用 -i 选项 。 举 例 来 说 


bsd2# netstat -i 


Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Coll 
lp0* 1500 «Link» 0 0 0 0 

epo 1500 <Link> 00.60.97.06.22.22 13971293 0 1223799 1 0 
epo 1500 205.153.63 bsd2 13971293 © 1223799 1 0 
tunO* 1500 «Link» 0 0 0 0 0 
slO* 552 «Link» 0 0 0 0 0 
pppoO* 1500 «Link» 0 0 0 0 0 
100 16384 <Link> 234 0 234 0 0 
100 16384 127 localhost 234 0 234 0 0 


输出 显示 了 目 上 一 次 重 司 以 来 ， 各 接口 所 处 理 的 报 文 数量 。 在 本 例 中 ， 接 口 ep0 收 到 
13,971,293 个 没有 差错 (lerrs) 的 报 文 (lpkts)， 发 送 了 1,223,799 个 报 文 (Opkts)， 有 1 个 差错 ， 
没有 冲突 (Coll) 。 少 量 错误 通 第 并 不 是 造成 告警 的 原因 ， 但 各 错误 所 占 比 例 应 当 是 维持 在 较 


低 水 平 ， 应 该 明显 低 于 报 文 总 量 的 0.1%。 冲 突 可 以 稍微 高 一 些 ， 但 应 当 少 于 数据 流 总 量 的 
10%。 冲 突 数 量 仅 包括 那些 影响 接口 的 。 较 高 数量 的 冲突 喻 示 着 网 络 负 载 较 高 ， 用 户 应 当 考 
ETF o 冲突 A AN 出 现在 特定 媒介 上 d 


如 有 果 你 只 想 要 单一 接口 的 输出 ， 可 以 通过 -| 选项 指定 ， 如 : 


bsd2# netstat -IepO 


Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Coll 
epo 1500 «Link» 00.60.97.06.22.22 13971838 © 1223818 1 © 
epo 1500 205.153.63 bsd2 13971838 © 1223818 1 0 


随 着 实现 的 不 同 ， 输 出 可 能 看 起 来 有 些 差异 ， 但 基本 信息 是 一 样 的 。 例 如 ，Linux 平 台 的 输 
出 : 
lnxi£& netstat -i 


Kernel Interface table 
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg 


etho 1500 0 7366003 0 0 0 93092 0 0 © BMRU 
eth1 1500 0 289211 0 0 0 18581 0 0 © BRU 
lo 3924 0 123 0 0 0 123 0 0 © LRU 


如 上 例 所 示 ，Linux 将 丢失 报 文 拆 成 三 个 目录 : errors, drops, “4 overruns 。 


不 方便 的 是 ，netstat 的 返回 值 是 系统 自 上 一 次 重启 之 后 的 累计 和 值 。 我 们 丨 正 关 尺 
值 最 近 是 怎样 变化 的 ， 因 为 问题 是 在 发 展 的 ， 在 它 增 长 到 足以 显现 问题 之 前 会 花费 相当 长 
时 间 。 


有 时 你 会 对 系统 做 一 些 压力 测试 来 看 错误 是 否 增 加 ， 可 以 使 用 ping 加 一 | 选项 或 spray 命 令 。 


首先 ， 运 行 netstat 来 得 到 当前 值 : 


bsd2# netstat -IepO 


Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Coll 
epo 1500 «Link» 00.60.97.06.22.22 13978296 © 1228137 all 0 
epo 1500 205.153.63 bsd2 13978296 © 1228137 al 0 


ET R? RAPA CS A AY HHEo AK) YP 3X f 10004 UDP3R : 


bsdi# spray -c1000 205.153.63.239 

sending 1000 packets of lnth 86 to 205.153.63.239 ... 
in 0.09 seconds elapsed time 
464 packets (46.40%) dropped 

Sent: 11267 packets/sec, 946.3K bytes/sec 

Revd: 6039 packets/sec, 507.2K bytes/sec 


注意 到 该 测试 超出 了 网 络 容 量 ， 因 为 464 个 报 文 被 丢弃 了 。 这 可 能 意味 着 网 络 拥塞 。 更 加 可 能 
的 是 ， 主 机 正在 尝试 与 一 个 慢 速 设备 通信 。 po ， 没 有 报 文 丢弃 。 


最 后 ， 回 到 netstat 来 看 看 是 否 存在 问题 : 


bsd2# netstat -IepO 


Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Coll 
epo 1500 «Link» 00.60.97.06.22.22 1397/78964 0 1228156 1 0 
epo 1500 205.153.63 bsd2 13978964 © 1228156 1 0 


本 例 显 示 没 有 问题 。 


如 果 显 示 有 问题 ， 可 以 通过 -S 选 项 来 得 到 。 输 出 数据 量 可 能 有 点 吓人 人， 但 可 以 提供 丰富 的 信 
息 。 信 息 按 照 协 议和 错误 类 型 来 分 段 ， 如 bad checksum 或 报 文 头 不 完整 。 


在 菜 些 系统 上 ， 两 次 -s 选 项 显示 非 零 值 的 总 和 ， 如 下 所 示 : 


bsd2# netstat -s -s 
ip: 
255 total packets received 
255 packets for this host 
114 packets sent from this host 
icmp: 
ICMP address mask responses are disabled 
igmp: 
tcp: 
107 packets sent 
81 data packets (8272 bytes) 
26 ack-only packets (25 delayed) 
140 packets received 
77 acks (for 8271 bytes) 
86 packets (153 bytes) received in-sequence 
1 connection accept 
1 connection established (including accepts) 
77 segments updated rtt (of 78 attempts) 
2 correct ACK header predictions 
62 correct data packet header predictions 
udp: 
115 datagrams received 
108 broadcast/multicast datagrams dropped due to no socket 
7 delivered 
7 datagrams output 


通过 -p 选 项 显示 某 一 协议 的 汇总 信息 ， 下 例 显 示 TCP 非 零 值 的 统计 信息 : 


bsd2# netstat -p tcp -s -s 
tcp: 
147 packets sent 
121 data packets (10513 bytes) 
26 ack-only packets (25 delayed) 
205 packets received 
116 acks (for 10512 bytes) 
122 packets (191 bytes) received in-sequence 
1 connection accept 
1 connection established (including accepts) 
116 segments updated rtt (of 117 attempts) 
2 correct ACK header predictions 
88 correct data packet header predictions 


解释 这 一 结果 是 需要 一 些 经 验 的 。 一 开始 可 以 从 大 量 错误 信息 开始 看 起 。 接 下 来 ， 识 别 错误 
类 型 。 通 常 ，input error 是 由 于 硬件 故障 应 期 的 。 Output error 是 由 本 地 主机 的 问题 造成 。 
Data corruption, 例 如 错误 校 验 和 ， 通 第 产生 于 服务 器 。 冲 突 往 往 意 味 着 网 络 拥塞 。 当 然 ， 这 
只 是 一 般 情 况 。 


> 


^ 


Network Troubleshooting Tools 


网 络 基 本 功 〈 十 七 ) : 细 说 tcpdump 的 妙用 (上 ) 
转载 请 在 文 首 保 留 原文 出 处 : EMC F x X44 2Khttps://community.emc.com/go/chinese 
介绍 


tcpdump 命 令 最 初 设计 用 于 观 罕 TCP/IP 性 能 问题 ， 它 是 一 个 用 于 截取 网 络 分 组 ， 并 输出 分 组 
内 容 的 工具 。tcpdump 可 以 将 网 络 中 传送 的 数据 包 的 报 文 头 完全 截获 下 来 提供 分 析 ， 它 支持 针 
对 网 络 层 、 协 议 、 主 机 、 网 络 或 端口 的 过 滤 ， 并 提供 and, or, nots HIS KBB PLE 
无 用 的 信息 AO 


更 多 信息 
使 用 tcpdump: 


Unix 命 令 tee 通 常用 来 允许 用 户 查 看 并 记录 Unix 会 话 的 输出 。 使 用 tcpdump 结 合 tee 加 上 -| 选项 
来 实现 ， 命 令 格式 如 下 


bsdi# tcpdump -1 | tee outfile 


另 一 种 方式 是 通过 -W 选 项 直接 将 抓 取 数据 写 入 文件 中 。 之 后 通过 tcpdump -r 选 项 来 读 取 。 抓 取 
数据 可 以 输入 : 


bsdi# tcpdump -w rawfile 


然后 将 r aw 文件 转化 成 text 文 件 : 
bsdi# tcpdump -r rawfile > textfile 


tcpdump 3$ 7i 


tcpdump 选 项 可 划分 为 四 大 类 型 : 控制 tcpdump 程 序 行为 ， 控 制 数据 怎样 显示 ， 控 制 显 示 什 么 
数据 , 以 及 过 滤 命 令 


控制 程序 行为 
这 一 类 命令 行 选项 影响 程序 行为 ， 包 括 数 o 之 前 已 介绍 了 两 个 例子 : -r 和 -Ww ° -w 
选项 允许 用 户 将 输出 重 定向 到 一 个 文件 ， 之 后 可 通过 -r 选 项 将 捕获 数据 显示 出 来 。 


如 果 用 户 知道 需要 捕获 的 报 文 数量 或 对 于 数量 有 一 个 上 限 ， 可 使 用 -Cc 选项 。 则 当 达 到 该 数量 时 
程序 自动 终止 ， 而 无 需 使 用 kill 命 令 或 Ctrl-C。 下 例 中 ， 收 集 到 100 个 报 文 之 后 tcpdump 终 止 : 


bsdi# tcpdump -c100 


如 果 用 户 在 多 余 一 个 网 络 接口 上 运行 fcpdump， 用 户 可 以 通过 -i 选项 指定 接口 。 在 不 确定 的 情 
况 下 ， 可 使 用 ifconfig -a 来 检查 哪 一 个 接口 可 用 及 对 应 哪 一 个 网 络 。 例 如 ， 一 台 机 器 有 两 个 C 
级 接口 ，Xxl0 接 口 I|P 地 址 205.153.63.238 > xI14& v IP353E205.153.61.178 » Xd JE 
205.153.61.0 网 络 的 数据 流 ， 使 用 以 下 命令 


bsdi# tcpdump -i x11 


没有 指定 接口 时 ，tcpdump 默 认为 最 低 编号 接口 。 


-Pp 选项 将 网 卡 接口 设置 为 非 混杂 模式 。 这 一 选项 理论 上 将 限制 为 捕获 接口 上 的 正常 数据 流 
来 自 或 发 往 主 机 ， 乡 播 数据 ， 以 及 广播 数据 。 





-S 选 项 控制 数据 的 截取 长 度 。 通 常 ，tcpdump 默 认为 一 最 大 字 节 数量 并 只 会 从 单一 报 文中 截取 
到 该 数量 长 度 。 实 际 字 节 数 取决 于 操作 系统 的 设备 驱动 。 通 过 默认 值 来 截取 合适 的 报 文 头 ， 
而 舍弃 不 必要 的 报 文 数据 。 


如 果 用 户 需 截取 更 多 数据 ， 通 过 -S 选 项 来 指定 字 节 数 。 也 可 以 用 -Ss 来 减少 截取 字 节 数 。 对 于 少 
于 或 等 于 200 字 节 的 报 文 ， 以 下 命令 会 截取 完整 报 文 : bsd1# tcpdump -s200 


更 长 的 报 文 会 被 缩短 为 200 字 节 


o 


控 制 信 息 如 何 显示 


-a，-n，-N 和 -f 选 项 决定 了 地 址 信息 是 如 何 显 示 的 。-a 选 项 强制 将 网 络 地 址 显示 为 名 称 ，-n 阻 
止 将 地 址 显示 为 名 字 ，-N 阻 止 将 域名 转换 。-f 选 项 阻止 远 端 名 称 解 析 。 下 例 中 ， 从 
sloan.lander.edu (205.153.63.30) ing 远 程 站 点 ， 分 别 不 加 选项 ，-a，-n，-N，-f。 (选项 -c1 
限制 抓 取 1 个 报 文 ) 


bsdi# tcpdump -c1 host 192.31.7.130 

tcpdump: listening on x10 

14:16:35.897342 sloan.lander.edu » cio-sys.cisco.com: icmp: echo request 
bsdi# tcpdump -c1 -a host 192.31.7.130 

tcpdump: listening on x10 

14:16:14.567917 sloan.lander.edu » cio-sys.cisco.com: icmp: echo request 
bsdi# tcpdump -c1 -n host 192.31.7.130 

tcpdump: listening on x10 

14:17:09.737597 205.153.63.30 » 192.31.7.130: icmp: echo request 

bsdi# tcpdump -c1 -N host 192.31.7.130 

tcpdump: listening on x10 

14:17:28.891045 sloan » cio-sys: icmp: echo request 

bsdi# tcpdump -c1 -f host 192.31.7.130 

tcpdump: listening on x10 

14:17:49.274907 sloan.lander.edu » 192.31.7.130: icmp: echo request 


默认 为 -a 选 项 。 


-t 和 -tt 选项 控制 时 间 惟 的 打印 。-t 选 项 不 显示 时 间 惟 而 -tt 选项 显示 无 格式 的 时 间 戳 。 以 下 命令 
显示 了 tcpdump 命 令 无 选项 ，-t 选 项 ，-tt 选 项 的 同一 报 文 : 
12:36:54.772066 sloan.lander.edu.1174 > 205.153.63.238.telnet: . ack 3259091394 win 8647 


Sloan.lander.edu.1174 > 205.153.63.238.telnet: . ack 3259091394 win 8647 (DF) 
934303014.772066 sloan.lander.edu.1174 > 205.153.63.238.telnet: . ack 3259091394 win 8647 





控制 显示 什么 数据 


可 以 通过 -V 和 -VV 选项 来 打印 更 多 详细 信息 。 例 如 ，-Vv 选 项 将 会 打印 TTL 字 段 。 要 显示 较 少 信 
总， 使 用 -q， 或 quiet 选 项 。 一 下 为 同一 报 文 分 别 使 用 -q 选 项 ， 无 选项 ，-V 选 项 ， 和 -VV 选项 的 
输出 。 


12:36:54.772066 sloan.lander.edu.1174 &gt; 205.153.63.238.telnet: tcp O (DF) 

12:36:54.772066 sloan.lander.edu.1174 > 205.153.63.238.telnet: . ack 3259091394 win 8647 
12:36:54.772066 sloan.lander.edu.1174 > 205.153.63.238.telnet: . ack 3259091394 win 8647 
12:36:54.772066 sloan.lander.edu.1174 > 205.153.63.238.telnet: . ack 3259091394 win 8647 


mi 






12:36:54.772066 0:10:5a:a1:e9:8 0:10:5a:e3:37:c ip 60: 
Sloan.lander.edu.1174 &gt; 205.153.63.238.telnet: . ack 3259091394 win 8647 (DF) 


0:10:5a:a1:e9:8 <sloan.lander.edu * 3Com-F 49 VA A M Xi ° 0:10:5a:e3:37:02% 
205.153.63.238 + 3Com-F 49 VA X M Iht © 


-X 选 项 将 报 文 以 十 六 进 制 形式 dump 出 来 ， 排 除了 链 路 层 报 文 头 。-X 和 -VV 选 项 报 文 显示 如 下 : 


13:57:12.719718 bsdi.lander.edu.1657 > 205.153.60.5.domain: 11587+ A? www.microsoft.com. 
4500 003f a189 0000 4011 c43a cd99 3db2 
cd99 3c05 0679 0035 002b 06d9 2d43 0100 
0001 0000 0000 0000 0377 7777 O096d 6963 
726f 736f 6674 0363 6f6d 0000 0100 01 





Network Troubleshooting Tools 


网 络 基 本 功 (TA) : 细 说 tcpdump 的 妙用 (下) 


转载 请 在 文 首 保 留 原文 出 处 : EMC 中 文 支 持 论 坛 https://community.emc.com/go/chinese 
ee Sele 





更 多 信息 
(承接 上 文 ) 


要 有 效 地 使 用 tcpdump， 等 握 过 滤器 非常 必要 的 。 过 滤 允 许 用 户 指定 想 要 抓 取 的 数据 流 ， 从 而 
用 户 可 以 专注 于 感 兴 趣 的 数据 。 此 外 ，ethereal 这 样 的 工具 使 用 tcpdump 过 滤 语 法 来 抓 取 数据 


流 a 


如 果 用 户 很 清楚 对 何 种 数据 流 不 感 兴 趣 ， 可 以 将 这 部 分 数据 排除 在 外 。 如 果 用 户 不 确定 需要 
什么 数据 ， 可 以 将 源 数 据 收 集 到 文件 之 后 在 读 取 时 应 用 过 滤器 。 实 际 应 用 中 ， 需 要 经 常 在 两 
种 方式 之 间 转 换 。 


简单 的 过 滤器 PE 令 行 之 后 的 关键 字 。 但 是 ， 复 杂 的 命令 是 由 逻辑 和 关系 运算 符 构 成 
7 。 对 于 这 样 的 情况 ， 通 第 最 好 用 -F 选 项 将 过 滤器 存储 在 文件 中 。 例 如 ， 假 设 testfilter 是 一 个 

含 过 滤 主 机 205.153.63.30 的 文本 文件 ， 之 后 输入 tcpdump 一 Ftestfilter 等 效 于 输入 命令 
ed host 205.153.63.30。 通 常 ， 这 一 功能 只 在 复杂 过 滤器 时 使 用 。 但 是 ， 同 一 命令 中 命 
令 行 过 滤器 和 文件 过 滤器 不 能 混用 。 


地 址 过 滤 : 


过 滤器 可 以 按照 地 址 选择 数据 流 。 例 如 ， 考 虑 如 下 命令 


bsdi# tcpdump host 205.153.63.30 


Ar SHB AR AVR AR 4E |PX,3E205.153.63.3085 EAU ° HAUT VMS AR RIP HHL 3& 3 
* d * IR 8 EAJ 是 |P 地 址 , 但 抓 取 数据 流 并 不 限于 IP 数 4E 7 流 ? 实际 上 ? WIA au s 也 会 抓 到 ARP 
数据 流 。 限 定 仅 抓 取 特定 协议 的 数据 流 要 求 更 复杂 的 过 滤器 。 


y 


有 若干 种 方式 可 以 指定 和 限制 地 址 ， 下 例 是 通过 机 器 的 以 太 网 地 址 来 选择 数据 流 : 


bsdi# tcpdump ether host 0:10:5a:e3:37:C 


数据 流 可 进一步 限制 为 单 向 ， 分 别 用 src 或 dst 指 定数 据 流 的 来 源 或 目的 地 。 下 例 显 示 了 发 送 到 
主机 205.153.63.30 的 数据 流 : 


bsd1# tcpdump dst 205.153.63.30 


注意 到 本 例 中 host 被 省 略 了 。 在 东 些 例子 中 省 略 是 没 问 题 的 ， 但 添加 这 些 关键 宁 通 第 更 安全 


— 


广播 和 多 播 数据 相 应 可 以 使 用 broadcast 和 multicast。 由 于 多 播 和 广播 数据 流 在 链 路 层 和 网 络 
层 所 指定 的 数据 流 是 不 同 的 ， 所 以 这 两 种 过 滤器 各 有 两 种 形式 。 过 滤器 ether multicast 抓 取 以 
太 网 多 播 地 址 的 数据 流 ，ip multicast 抓 取 IP 多 播 地 址 数据 流 。 广 播 数 据 流 也 是 类 似 的 使 用 方 
法 。 注 意 多 播 过 滤器 也 会 抓 到 广播 数据 流 。 


除了 抓 取 特定 主机 以 处， 还 可 以 抓 取 特定 网 络 。 例 如 ， 以 下 命令 限制 抓 取 来 自 或 发 往 
205.153.60.089 4& X : 


bsdi# tcpdump net 205.153.60 


以 下 命令 也 可 以 做 同样 的 事情 : 


bsdi# tcpdump net 205.153.60.0 mask 255.255.255.0 


而 以 下 命令 由 于 最 后 的 .0 就 无 法 正常 工作 : 


bsdi# tcpdump net 205.153.60.0 


协议 及 端口 过 滤 : 


限制 拆 取 指定 协议 如 IP，Appletalk 或 TCP。 还 可 以 限制 建立 在 这 些 协议 之 上 的 服务 ， 如 DNS 
或 RIP。 这 类 抓 取 可 以 通过 三 种 方式 进行 : 使 用 tcpdump 关 键 字 ， 通 过 协议 关键 字 proto， 或 通 
过 服务 使 用 port 关 键 字 。 


一 些 协议 名 能 够 被 tcpdump 识 别 到 因此 可 通过 关键 字 来 指定 。 以 下 命令 限制 抓 取 IP 数 据 流 : 


bsdi# tcpdump ip 


当然 ，IP 数 据 流 包括 TCP 数 据 流 ，UDP 数 据 流 ， 等 等 。 


如 果 仅 抓 取 TCP 数 据 流 ， 可 以 使 用 : 


bsdi# tcpdump tcp 


tcpdump 可 识别 的 关键 字 包 括 ip, igmp, tcp, udp, and icmp ° 


有 很 多 传输 层 服 务 没 有 可 以 识别 的 关键 字 。 在 这 种 情况 下 ， 可 以 使 用 关键 字 proto 或 ip proto 加 
上 /etc/protocols 能 够 找到 的 协议 名 或 相应 的 协议 编号 。 例 如 ， 以 下 两 种 方式 都 会 查找 OSPF 报 
m 


bsdi# tcpdump ip proto ospf 
bsdi# tcpdump ip proto 89 


Ak ay XT 


能 会 造成 问题 。 下 面 的 例子 中 ， 无 法 使 用 tcp 关 键 宁 ， 或 必须 使 用 数字 。 例 
如 ， 下 面 的 例子 是 正 


常 工作 的 : 


bsd#1 tcpdump ip proto 6 


为 一 方面 ， 不 能 使 用 proto 加 上 tcp: 


bsd#1 tcpdump ip proto tcp 


会 产生 问题 。 


对 于 更 高 层级 的 建立 于 底层 协议 之 上 的 服务 ， 必 须 使 用 关键 字 port。 以 下 两 者 会 采集 DNS 数据 


流 


bsd#1 tcpdump port domain 
bds#1 tcpdump port 53 


第 一 条 命令 中 ， 关 键 字 domain 能 够 通过 查找 /etc/services 来 解析 。 在 传输 层 协 议 有 歧义 的 情况 
下 ， 可 以 将 端口 限制 为 指定 协议 。 考 虑 如 下 命令 : 


bsd#1 tcpdump udp port domain 


这 会 抓 取 使 用 UDP 的 DNS 名 查找 但 不 包括 使 用 TCP 的 DNS zone 传输 数据 。 而 之 前 的 两 条 命令 
会 同时 抓 取 这 两 种 数据 。 


报 文 特征 : 


过 滤器 也 可 以 基于 报 文 特征 比如 报 文 长 度 或 特定 字段 的 内 容 ， 过 滤器 必须 包含 关系 运 碍 符 。 
要 指定 长 度 ， 使 用 关键 字 |less 或 greater。 如 下 例 所 示 : 


bsdi# tcpdump greater 200 


该 命令 收集 长 度 大 于 200 字 节 的 报 文 。 


— a S 吉 构 。 但 是 尽管 如 此 ， 或 者 说 正 因 
如 此 ， 这 一 方式 能 够 使 用 户 最 大 限度 的 控制 抓 取 的 数据 。 





一 般 使 用 语法 proto [ expr: size ]。 字 段 proto 指 定 Jik XA ipMAAIPK > tcp] & 
看 TCP 头 ， 以 此 类 推 。expr 字 上 段 给 i icd 的 位 移 。 即 : 报 文 头 的 第 一 个 字 节 为 
0， 第 二 字 节 为 1， 以 此 类 推 。size 字 段 是 可 选 的 ， 指 定 需 要 使 用 的 字 节 数 ，1，2 或 4。 





bsdi# tcpdump "ip[9] = 6" 


查看 第 十 字 节 的 IP 头 ， 协 议 值 为 6。 注 意 这 里 必须 使 用 引号 。 搬 号 或 引号 都 可 以 ， 但 反 引 号 将 
无 法 正常 TE 


bsdi# tcpdump tcp 


也 是 等 效 的 ， 因 为 TCP 协 议 编号 为 6。 


这 一 方式 常常 作为 掩 码 来 选择 特定 比特 位 。 值 可 以 是 十 六 进 制 。 可 通过 语法 & 加 上 上 比特 掩 码 来 
# 定 。 下 例 提取 从 以 太 网 头 第 一 字 节 开始 ( 即 目 的 地 址 第 一 字 节 ) ， 提 取 低 阶 比特 位 ， 并 确 
保 该 位 不 为 0 : 


bsdi# tcpdump ‘ether[0O] & 1 != 0' 


六 条 件 会 选取 广播 和 乡 播 报 文 。 


vr 
NS 


以 上 两 个 例子 都 有 更 好 的 方法 来 匹配 报 文 。 作 为 一 个 更 实际 的 例子 ， 考 虑 以 下 命令 


bsdi# tcpdump "tcp[13] & 0x03 != Oo" 


过 滤器 跳 过 TCP 头 的 13 个 字 节 ， 提 取 flag 字 节 。 掩 码 0x03 选 择 第 一 和 第 二 比特 位 ， 即 FIN 和 
ea 中 一 位 不 为 0 则 报 文 被 抓 取 。 此 命令 会 抓 取 TCP 连 接 建立 及 关闭 报 文 。 


不 要 将 逻辑 运算 符 与 关系 运算 符 混淆 。 比 如 想 tcp src port > 23 这 样 的 表达 式 就 无 法 正常 工 
作 。 因 为 tcp src port 表 达 式 返回 值 为 true 或 false， 而 不 是 一 个 数值 ， 所 以 无 法 与 数值 进行 比 
较 。 如 果 需 要 查找 端口 号 大 于 23 的 所 有 TCP 数 据 流 ， 必 须 从 报 文 头 提取 端口 字段 ， 使 用 表达 
式 “tcp[0:2] & Oxffff > 0x0017”。 


网 络 基本 功 (tA) : 细 说 NAT 原 理 与 配置 


转载 请 在 文 首 保留 原文 出 处 : EMC 中 文 支持 论坛 https://community.emc.com/go/chinese 
BEES 





NAT 技 术 让 少数 公有 IP 地 址 被 使 用 私有 地 址 的 大 量 主机 所 共享 。 这 一 机 制 允许 远 多 于 IP 地 址 空 
间 所 支持 的 主机 共享 网 络 。 同 时 ， 由 于 NAT 屏 蔽 了 内 部 网 络 ， 也 为 局 域 网 内 的 机 器 提供 了 安全 
保障 。 


NAT 的 基本 实施 过 程 包 括 使 用 一 个 预 留 给 本 地 |P 网 络 的 私有 地 址 成 立 组 织 的 内 部 网 络 ， 同 时 分 
配给 组 织 一 个 或 多 个 公 网 IP 地 址 ， 并 在 本 地 网 络 与 公 网 之 间 安 装 一 个 或 多 个 具有 NAT 功 能 的 路 
由 器 。NAT 路 由 器 实现 的 功能 包括 将 数据 报 中 私 网 地 址 转换 成 公 网 地 址 ， 反 向 亦 然 。 当 有 报 文 
通过 时 ， 网 络 地 址 转换 其 不 仅 检 查 报 文 信息 ， 还 将 报 文 头 中 的 IP 地 址 和 端口 信息 进行 修改 ， 
以 使 处 于 NAT 之 后 的 机 器 共享 少数 公 网 IP 地 址 。 


更 多 信息 
何 时 使 用 NAT? 


为 NAT 能 够 减少 在 网 络 环 境 中 所 需 的 公共 |P 地 址 需求 ， 因 此 当 两 家 公司 重复 内 部 地 址 合并 
时 ， 这 一 技术 是 很 有 帮助 的 。 当 组 织 改 变 其 Internet 服 务 供应 商 (ISP) ， 但 网 络 管理 员 不 想 
改变 内 部 地 址 方案 时 ，NAT 也 是 一 个 很 好 用 的 工具 。 


以 下 有 是 应 用 NAT 的 场景 : 


e 用 户 需 要 访问 Internet 但 主机 没有 全 球 唯一 的 |P 地 址 
e 用 户 更 改 |SP 需 要 对 网 络 重 新 编号 
e 用 户 需 要 合并 地 址 重复 的 内 网 


通常 NAT 应 用 于 边界 路 由 器 。 例 如 ， 下 图 中 NAT 应 用 于 企业 连接 到 Internet 的 路 由 器 上 : 


Internet 


Global (real) Internet addresses 








NAT 的 优势 与 不 足 : 
优势 BR 
节约 合法 注册 地 址 转换 导致 交换 路 径 延 时 
解决 地 址 重 受 问题 导致 端 到 端 | 地 址 无 法 追溯 
提高 访问 Internet 灵 活性 某 些 应 用 程序 无 法 使 用 


网 络 变 动 无 需 地 址 重新 编号 


网 络 地 址 转换 类 型 : 


3$ ANAT : 此 类 NAT 在 本 地 和 全 局 地 址 之 间 做 一 到 一 的 永久 映射 。 须 注意 静态 NAT 要 求 用 户 对 
每 一 台 主 机 都 有 一 个 真实 的 Internet IP 地 址 。 


ah ANAT : 允许 用 户 将 一 个 未 登记 的 |P 地 址 映射 到 一 个 登记 的 |P 地 址 池 中 的 一 个 。 采 用 动态 分 
a 进行 静态 
来 将 内 部 地 址 映射 到 外 部 地 址 ， 但 是 必须 有 足够 的 站 正 的 IP 地 址 来 进行 收发 包 


端口 NAT (PAT) : 最 为 流行 的 NAT 配 置 类 型 。 通 过 多 个 源 端 口 ， 将 多 个 未 登记 的 IP 地 址 映射 
到 一 个 合法 |P 地 址 (多 到 一 ) 。 使 用 PAT 能 够 使 上 千 个 用 户 仅 使 用 一 个 全 局 |P 地 址 连接 到 


Internet ° 


NAT Xz : 
NAT 术 话 还 是 比较 直观 的 。NAT 地 址 转换 之 后 成 为 全 局 地 址 。 通 第 是 Internet 上 使 用 的 公 网 地 
址 。 如 果 不 访 问 Internet 的 话 就 不 需要 用 到 。 


本 地 地 址 : NAT 地 址 转换 之 前 用 到 的 地 址 。 内 部 本 地 地 址 实际 上 是 尝试 访问 Internet 的 发 送 主 
机 的 私有 地 址 。 外 部 本 地 地 址 通常 是 连接 到 用 户 ISP 的 路 由 器 接口 ， 也 是 报 文 开 始 传输 的 公有 
Wak o 


转换 之 后 ， 内 部 本 地 地 址 之 后 被 称 为 内 部 全 局 地 址 ， 而 外 部 全 局 地 址 成 为 目标 主机 的 地 址 。 
如 下 衣 所 示 : 





A RR 含义 

QUA 转换 前 的 源 主机 内 部 地 址 

外 部 本 ”|nternet 上 识别 到 源 主机 的 地 址 。 通 常 是 连接 到 |SP 的 路 由 器 接口 SE AY 
地 Internet 地 址 。 

A39 2 — 转换 后 连接 到 bak o BERR ü 

B ži] Internet Jp 3 pub Ab © 点 实 的 Internet 地 址 

外 部 全 gpa Ade d, = 428 cd d, 

局 部 目标 主机 地 址 ， 同 样 征 旧 实 的 Internet 地 址 
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Simple NAT table 


Inside Local IP Inside Global 
ne ee ee ee | Address IP Address 
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NAT x: 9L 20 


下 图 中 ， 主 机 10.1.1.1 将 报 文 发 送 到 有 NAT 功 能 的 边界 路 由 器 。 路 由 器 将 源 IP 地 址 识别 为 内 部 
本 地 |IP 地 址 ， 在 报 文中 转换 源 IP 地 址 ， 并 在 NAT 表 中 记录 此 次 转换 。 

配 有 新 转换 源 地 址 的 报 文 发 送 到 外 部 接口 。 外 部 主机 将 报 文 发 送 给 目的 主机 并 且 NAT 路 由 器 通 
过 NAT 表 将 内 部 全 局 IP 地址 转换 回 内 部 本 地 |P 地 址 。 


Inside DA — 
mum DA 170.168.2.2 
2030144 SA — — 

_ 17016822 P< 二 «& 
= = — Host B 


e9——— Internet 63.40.7.3 


NAT Table 


Inside Local | Inside Global 
IP Addresses | IP Addresses 


170.168.2.4 
170.168.2.3 
170.168.2.2 





PAT 方 式 中 ， 所 有 内 部 主机 都 转换 为 一 个 |P 地 址 。 如 下 图 所 示 ， 除 了 内 部 本 地 |IP 地 址 和 内 部 全 
局 IP 地 址 以 外 ， 还 多 了 一 个 端口 号 。 端 口号 帮助 路 由 器 识别 哪 一 台 主 机 应 当 收 到 返回 数据 。 
路 由 器 使 用 来 自 各 主机 的 源 端口 好 来 区 别 他 们 各 自发 出 的 数据 。 注 意 当 报 文 离开 路 由 器 时 有 
一 个 目标 端口 号 80， 而 HTTP 服 务 器 将 报 文 发 回 时 目的 端口 号 为 1026。 从 而 允许 NAT 转 换 路 由 
器 区 别 NAT 表 中 的 主机 然后 将 目的 I|P 地 址 转换 回 内 部 本 地 地 址 。 


本 例 中 ， 端 口号 在 传输 层 用 户 识 别 本 地 主机 。 如 果 必 须要 使 用 ~ Und 别 产 王 
pu ， Mb 通过 静态 NAT， 并 且 会 用 光 所 有 地 址 。PAT 允 许 我 们 在 传输 层 识别 主机 ， 从 而 理 
论 上 一 个 丨 实 |P 地 址 可 被 65，000 合 主机 共享 。 


Inside DA 
DA 170.168.2.1:1026 
10.1. AT 1:1026 DA are 
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NAT Table 


B Inside Local Inside Global 
^ SA IP Addresses IP Addresses 
10.1.1.1:1026 


pz 10.1.1.3:1024 170.168.2.1:1024 
10.1.1.2:1025 170.168.2.1:1025 
10.1.1.1:1026 170.168.2.1:1026 





静态 NAT 配 置 : 


ip nat inside source static 10.1.1.1 170.46.2.2 
! 


interface EthernetO 

ip address 10.1.1.10 255.255.255.0 
ip nat inside 

| 


interface SerialO 


ip address 170.46.2.1 255.255.255.0 
ip nat outside 
! 


在 第 一 个 路 由 器 输出 中 ，ip nat inside source 命令 指定 需要 转换 的 IP 地址 。 本 例 中 ， 此 命令 
配置 了 内 部 本 地 IP 地 址 10.1.1.1 到 外 部 全 局 IP 地 址 170.46.2.2 的 静态 配置 。 


在 各 接口 下 都 有 一 条 ip nat 命 令 。ip nat inside4? 4 — 别 为 内 部 接口 ，ip nat outside 
令 将 该 接口 识别 为 外 部 接口 。 回 头 看 ip nat inside source 命令 ， 该 命令 将 内 部 接口 作为 转换 
的 源 或 起 点 。 也 可 以 这 样 使 用 : ip nat outside source。 该 选 pe 定 的 外 部 接口 会 成 为 转 
换 的 源 或 起 点 。 


动态 NAT 配 置 : 


动态 NAT 表 示 将 一 个 地 址 池 当 作 丰 实 IP 地 址 提供 给 内 部 一 组 用 户 。 由 于 不 使 用 端口 号 ， 对 于 同 
时 尝试 访问 外 部 网 络 的 用 户 必 须 提 供 夏 实 的 IP 地 址 。 


以 下 是 动态 NAT 配 置 的 示例 输出 : 


ip nat pool todd 170.168.2.3 170.168.2.254 
netmask 255.255.255.0 


ip nat inside source list 1 pool todd 
! 

interface EthernetO 

ip address 10.1.1.10 255.255.255.0 

ip nat inside 

interface SerialO 

ip address 170.168.2.1 255.255.255.0 


ip nat outside 


access-list 1 permit 10.1.1.0 0.0.0.255 
! 


ip nat inside source list 1 pool todd 命令 告知 路 由 器 将 匹配 access-list 1 的 IP 地 址 转换 到 名 为 
todd 的 IP NAT 池 中 的 一 个 地 址 。 这 里 ACL 并 不 是 出 于 安全 因素 通过 允许 或 拒绝 数据 来 过 滤 报 
文 。 本 例 中 ， 它 是 用 来 选择 或 指定 我 们 感 兴趣 的 数据 流 。 当 数据 流 与 接 入 列表 相 匹 配 ， 就 被 
拉 入 NAT 进 程 转换 。 


命令 ip nat pool todd 170.168.2.3 192.168.2.254 netmask 255.255.255.0 用 来 创建 地 址 池 ， 
之 后 被 分 配给 请 求全 局 地 址 的 主机 。 做 Cisco NAT 故 障 排 查 时 ， 一 定 要 检查 池 中 确保 有 足够 地 
址 提供 转换 给 内 部 主机 。 了 最 后 ， 确 保 池 名 匹配 ， 注 意 区 分 大 小 写 


端口 NAT 配 置 : 


以 下 是 端口 NAT 配 置 的 示例 输出 : 


ip nat pool globalnet 170.168.2.1 170.168.2.1 netmask 255.255.255.0 


ip nat inside source list 1 pool globalnet overload 
! 

interface Ethernet0/0 

ip address 10.1.1.10 255.255.255.0 

ip nat inside 

! 

interface Serial0/0 

ip address 170.168.2.1 255.255.255.0 


ip nat outside 
! 


access-list 1 permit 10.1.1.0 0.0.0.255 


端口 NAT 与 动态 NAT 配 置 的 不 同 之 处 在 于 
地 址 池 变 为 只 有 一 个 IP 地 址 
在 ip nat inside source*? 4 3% & 7» A overload X 4& F » 


本 例 中 一 个 关键 元 素 是 使 用 了 池 中 的 一 个 IP 地 址 作为 外 部 接口 I|P 地 址 。 如 果 有 其 他 可 用 地 址 如 
170.168.2.2 可 作为 额外 地 址 ， 这 样 做 在 内 部 大 量 用 户 同 时 为 活跃 状态 ， 需 要 不 止 一 个 重 载 |P 
地 址 时 很 有 帮助 。 


参考 


网 络 基 本 功 系 列 


CCENT 


网 络 基本 功 (十 九 ) : 细 说 NAT 原 理 与 配置 100 


网 络 基 本 功 (二 十 ) : 细 说 ICMP 和 ARP 
转载 请 在 文 首 保 留 原文 出 处 : EMC P x X44 2Khttps://community.emc.com/go/chinese 
介绍 


ICMP 是 网 络 控 制 消息 协议 ， 主 要 用 于 传递 查询 报 文 与 差错 报 文 。ARP 是 地 址 解析 协议 ， 它 的 
作用 是 在 以 太 网 环境 下 ， 通 过 3 层 的 IP 地 址 来 找寻 2 层 的 MAC 地 址 ， 得 到 一 张 ARP 缓 存 表 。 转 
发 数据 的 时 候 根据 ARP 缓 存 表 来 进行 传输 。 


更 多 信息 
IMCP: 


Internet 操 作 是 由 路 由 器 严密 监控 的 。 当 路 由 器 端 处 理 报 文 时 如 有 意外 发 生 ， 事 件 通 过 |CMP 报 
告 给 发 送 端 ?ICMP 也 用 来 测试 Internet 。ICMP 信 息 封 装 在 IP 报 文中 ， 最 重要 的 一 部 分 如 下 表 


所 列 : 
Message type Description 


Destination unreachable Packet could not be delivered 


Time exceeded . Time to live field hit 0 


Parameter problem Invalid header field 


Source quench Choke packet 
Redirect | Teach a router about geography 


Echo and echo reply _ Check if a machine is alive 
Timestamp request/reply Same as Echo, but with timestamp 
Router advertisement/solicitation | Find a nearby router 





DESTINATION UNREACHABLE 消 息 用 于 当 路 由 器 无 法 找到 目标 地 址 或 当 设 置 了 DF 位 的 报 文 
无 法 递送 ， 因 为 路 径 上 存在 “小 报 文 "网 络 。 


TIME EXCEEDED 消 息 是 由 于 报 文 TTL (Time to live) 计数 器 到 达 0 时 。 该 事件 是 报 文 在 回 
环 ， 或 计数 器 值 设置 过 低 的 迹象 。 对 于 这 一 错误 信息 的 聪明 的 应 用 是 traceroute 工 具 ， 
traceroute 发 现 从 主机 到 目的 |IP 地 址 路 径 上 的 路 由 器 。 它 向 目的 地 发 送 IP 包 ， 第 一 次 的 时 候 ， 
将 TTL 设 置 为 1， 引 发 第 一 个 路 由 器 的 Time Exceeded 和 错误。 这样 ， 第 一 个 路 由 器 回复 ICMP 
包 ， 从 而 让 出 发 主机 知道 途径 的 第 一 个 路 由 器 的 信息 。 随 后 TTL 被 设置 为 2、3、4，...， 直 到 


到 达 目 的 主机 。 这 样 ， 沿 途 的 每 个 路 由 器 都 会 向 出 发 主机 发 送 |CMP 包 来 汇报 错误 。 
traceroute 将 ICMP 包 的 信息 打印 在 屏幕 上 ， 就 是 接力 路 径 的 信息 了 。 这 并 不 是 TIME 
EXCEEDED 信 息 的 本 意 ， 但 却 是 非常 有 用 的 故障 排查 工具 。 


PARAMETER PROBLEM 信 息 表 示 报 文 关 字段 发 现 了 非法 值 。 这 一 问题 表明 发 送 主 机 的 IP 软 
件 或 可 能 是 途经 的 路 由 器 发 生 了 bug。 


SOURCE QUENCH 信 息 以 前 用 来 节制 发 送 太 多 enm 主机 。 当 主机 接收 到 该 信息 ， 它 预计 将 
放 缓 发 送 报 文 。 现 在 很 少 使 用 ， 因 为 当 拥 寨 发 生 时 ， 这 类 报 文 会 起 到 火 上 洲 油 的 作用 ， 而 且 
也 不 清楚 如 何 做 出 回应 。lnternet 中 的 拥塞 控制 现在 大 部 分 在 传输 层 完 成 ， 使 用 报 文 丢失 作为 
拥塞 信号 。 


REDIRECT 信 息 用 于 路 由 器 发 现 报 文 被 错误 路 由 的 时 候 。 路 由 器 用 该 信息 告知 发 送 主 机 更 新 
合适 的 路 径 。 


主机 发 送 ECHO 和 ECHO REPLY 信 息 以 查看 目前 的 目的 地 址 是 否 可 到 达 或 是 否 alive。 接 收 到 
ECHO 信 息 之 后 ， 目 的 地 址 预计 会 发 回 一 条 ECHO REPLY 人 信息。 这 些 信息 用 在 ping 工 具 中 来 
查看 主机 是 否 Up 以 及 是 否 挂 在 网 上 。 


TIMESTAMP REQUEST 和 TIME REPLY 信 息 是 类 似 的 ， 息 的 到 达 时 间 以 及 回复 的 离开 
时 间 是 记录 在 回复 中 的 。 bi hy 


ROUTER ADVERTISEMENT 和 ROUTER SOLICITATION 信 息 用 于 主机 发 现 附 近 的 路 由 器 。 
主机 需要 从 至 少 一 个 路 由 器 学 习 |P 地 址 来 发 送 报 文 。 


ARP: 


尽管 Internet 上 的 每 人 台 设 备 都 有 一 个 或 多 个 IP 地址 ， 仅 用 这 些 地 址 仍然 不 能 发 送 报 文 。 数 据 链 
路 层 网 卡 如 以 太 网 卡 不 理解 Internet 地 址 。 对 于 以 太 网 ， 每 一 个 以 大 网 卡 都 有 一 个 48bit 的 以 大 
网 地 址 。 网 卡 基 于 这 48bit 尺 太 网 地 址 收发 帧 ， 网 卡 与 32bit IP 地 址 没有 关系 。 


从 而 产生 一 个 问题 : IP 地 址 是 如 何 映 射 到 数据 链 路 层 地 址 ， 如 以 太 网 地 址 的 呢 ? 解释 这 一 问 
题 ， 让 我 们 以 下 图 为 例 : 一 个 小 型 校园 安装 了 两 个 /24 网 络 。 其 中 一 个 (CS) 是 交换 以 太 网 ， 
位 于 Computer Science 部 门 。 网 络 地 址 为 192.32.65.0/24 ° err (EE) 也 是 一 个 交 
换 以 太 网 ， 位 于 Electrical Engineering 部 门 网 络 地 址 为 192.32.63.0/24。 这 两 个 局 域 网 通过 |P 
路 由 器 互 连 。 以 太 网 上 的 各 台 设 备 以 及 路 由 器 各 接口 都 有 唯一 的 以 太 网 地 址 ， 标 签 从 E1 到 
E6， 以 及 CS 或 EE 网 络 上 唯一 的 IP 地 址 。 


IP1 = 192.32.65.7 IP'3 z 192.32.63.3 









ee 
| 192.92.65.1 192.92.63.1 Host 4 
CS Network EE Network N | 
MG 192.32.65.0/24 192.32.63.0/24 E6 
IP2 = 192.232.65.5 IP4 = 192.32.63.9 


| : Source Source | Destination | Destination 
: 


CReriezocSma | i | e | Pa | ee 


l Hotit on GS net | ir | Er | wa] ee 
Hostito4, onEEnet | IP! | E4 | Ip4 | E6 | 





我 们 首先 看 一 下 host 1 的 用 户 如 何 向 CS 上 的 host 2 用 户 a 。 首先 假设 发 送 方 知道 目标 接 
收 方 的 名 字 ， 如 xx.cs.uni.edu。 第 一 步 是 查找 host 2 的 IP 地 址 。 这 一 查找 是 通过 DNS 来 完成 
的 ，DNS 之 后 返回 host 2 的 |P 地 址 (192.32.65.5) 。 


host 1 的 上 层 软 件 将 目标 地 址 192.32.65.5 植 入 报 文中 并 交 给 IP 软 件 发 送 。|IP 软 件 查 看 该 地 址 发 
现 目 标 地 址 在 CS 网 络 上 ( 即 本 地 网 络 ) 。 但 是 ， 还 需要 查找 目的 以 太 网 地 址 来 发 送 帧 。 一 种 
解决 方式 是 通过 系统 配置 文件 来 将 上 P 地 址 映射 到 以 太 网 地 址 。 当 然 这 种 方式 是 可 能 的 ， 但 对 

于 有 上 千 台 设备 的 大 型 企业 来 说 要 保证 这 些 文件 都 是 更 新 状态 是 一 项 耗 时 的 工作 。 


比较 好 的 方式 是 host 1 发 送 一 个 广播 报 文 到 以 太 网 询问 谁 有 IP 地 址 192.32.65.5。 广 播报 文 到 

los hedge 各 台 设 备 检查 自己 的 IP 地 址 。 只 有 host 2 会 回复 自己 的 以 太 网 地 址 
E2。 通 过 这 种 方式 host 1 学 习 到 IP 地 址 192.32.65.5 的 以 太 网 地 址 E2。 这 种 提问 和 回复 的 协议 
EE Resolution Protocol)。 使 用 ARP 的 一 个 优势 是 它 的 简单 性 。 系 统管 理 员 
无 需 指定 各 台 设 备 的 IP 地 址 以 及 子 网 掩 码 ，ARP 自 动 完 成 剩 下 的 工作 。 


此 时 ，host 1 上 面 的 IP 软 件 构造 以 大 网 地 址 E2 的 报 文 ， 将 IP 报 文 (目的 地 址 192.32.65.5) ZX 
ERT host 2 的 以 太 网 卡 检测 到 该 帧 ， 识 别 目标 地 址 是 自己 ， 把 它 捞 出 来 ， 产 生 一 个 中 
断 。 以 大 网 驱动 从 载荷 中 将 |P 报 文 提取 出 来 并 传递 给 |P 软 件 ， 软 件 查 看 到 此 报 文 地 址 正确 并 了 予 
以 处 理 。 


提高 ARP 效 率 有 很 多 种 优化 方法 。 运 行 ARP 的 设备 将 其 结果 放 入 缓存 之 中 ， 以 备 短期 内 需要 
再 次 连接 同一 台 设 备 。 下 一 次 可 在 设备 的 缓存 中 找到 映射 结果 ， 就 无 需 第 二 次 广播 。 很 多 情 
况 下 ，host 2 需要 发 送 一 个 回复， 迫使 它 运 行 ARP 来 确定 发 送 方 的 以 太 网 地 址 。 在 host 1 的 
ARP 报 文中 包含 IP 到 Ethernet 映 射 可 避免 这 一 ARP 广 播 。 当 ARP 广 播 到 达 host 2 » 3E 4I 

(192.32.65.7, E1) 进入 host 2 的 ARP 缓 存 。 实 际 上 ， 以 太 网 上 的 所 有 设备 都 可 以 将 这 一 映射 
放 入 自己 的 ARP 缓 存 中 。 


为 了 让 映射 能 够 更 改 ， 例 如 ， 当 配置 一 台 主 机 使 用 心得 IP 地 址 (但 保留 昌 的 以 太 网 地 址 ) ， 

几 秒 钟 过 后 ARP 缓 存 中 的 表 项 会 过 期 。 为 了 保持 缓存 信息 更 新 并 且 优化 性 能 ， 比 较 好 的 方法 
是 每 一 台 设 备 在 配置 时 都 广播 它 的 映射 信息 。 广 播 通常 以 ARP 查 找 自 己 的 IP 地 址 的 方式 来 完 
成 。 应 当 不 会 收 到 响应 ， 但 该 广播 的 副作用 是 使 每 一 台 设 备 的 ARP 缓 存 都 得 到 更 新 。 这 称 为 
免费 ARP (gratuitous ARP) 。 如 果 收 到 回复 (TAZA) ， 则 两 台 设 备 指定 了 同一 IP 地 址 。 
网 络 管理 员 需 解决 这 一 问题 才能 使 两 台 设备 共同 使 用 网 络 。 


再 看 上 图 ， 人 假设 host 1 想 要 向 网 络 EE 上 的 host 4(192.32.63.8) A 3 4& X » host 1 会 发 现 目标 IP 
地 址 不 在 CS 网 络 上 ， 它 会 将 所 有 这 类 远 端 网 络 数据 流 发 送 给 路 由 器 ， 也 称 为 默认 网 关 

(default gateway) 。 习 惯 上 ， 默 认 网 关 是 网 络 上 的 最 低地 址 (198.31.65.1) 。 要 发 送 帧 给 
X&w3 2$ * host 1 还 是 必须 知道 路 由 器 接口 在 CS 网 络 上 的 以 太 网 地 址 。 路 由 器 通过 发 送 
198.31.65.1 的 ARP 广 播 来 学 习 到 E3 地 址 ， 然 后 发 送 帧 。 路 由 茵 在 Internet 路 径 上 将 报 文 从 一 
个 路 由 器 发 送 到 下 一 个 使 用 相同 的 查找 机 制 。 


路 由 如 的 以 太 网 卡 收 到 此 帧 后 将 报 文 发 给 IP 软 件 。 从 网 络 掩 码 中 得 知 该 报 文 应 当 发 送 到 EE © 
如 果 路 由 器 不 知道 host 4 的 以 太 网 地 址 ， 就 会 再 次 使 用 ARP。 上 图 列 出 了 在 CS 和 EE 子 网 上 观 
察 到 的 帧 中 出 现 的 源 和 目的 以 太 网 及 |IP 地 址 。 发 现 到 各 子 网 中 以 太 网 地 址 改变 而 IP 地 址 保持 不 
Zh (因为 I|P 地 址 指明 跨越 所 有 互 连 子 网 的 终点 ) © 


从 host 1 发 送 报 文 到 host 4， 而 host 1 不 知道 host 4 位 于 不 同 网 络 也 是 可 能 的 。 解 决 方法 是 让 
CS 子 网 上 的 路 由 器 回复 查找 host 4 的 ARP 并 将 目 己 的 以 太 网 地 址 E3 作 为 回复 内 容 。 由 于 host 
4 无 法 看 到 ARP 请 求 (路 由 器 不 会 转发 以 太 网 广播 ) 所 以 无 法 直接 回复 。 路 由 器 之 后 会 接收 发 
往 192.32.63.8 的 帧 并 转发 到 EE 子 网 。 这 一 方式 称 为 代理 ARP (proxy ARP) 。 用 在 一 台 主 机 
想 要 出 现在 一 个 子 网 上 但 实际 上 位 于 另 一 子 网 的 特定 情形 。 


参考 


Computer Networks 


网 络 基 本 功 (二 十 一 ) : 细 说 HTTP (E) 


转载 请 在 文 首 保 留 原文 出 处 : EMC 中 文 支 持 论 坛 https://community.emc.com/go/chinese 





HTTP 是 一 个 由 请 来 与 响应 组 成 的 客户 端 与 服务 端 交互 协议 。 浏 览 器 发 送 一 个 HTTP 请 来 到 措 
定 的 URL 地 址 ， 持 有 此 URL 地 址 的 WEB 服 务 器 将 返回 一 个 HTTP 请 求 。 请 求 的 类 型 有 GET 
POST, HEAD, PUT, DELETE, OPTIONS 和 TRACE 等 。 


更 多 信息 
HTTP 操 作 模 式 与 客户 端 /服务 器 通信 : 


HTTP 只 关心 一 个 功能 : 从 web 服 务 器 到 web 客 户 Ce o 从 通 
信 的 角度 来 看 ， 客 户 端 主 要 负责 发 送 请 求 给 服务 器 ， 服 务 器 对 请 求 作 出 响应 。 相 比 FTP 和 
SMTP 这 样 需要 多 个 通信 步骤 和 命令 /响应 序列 的 应 用 层 协 议 ，HTTP 更 像 BOOTP 和 ARP ° 


x 


基本 的 HTTP 客 户 端 /服务 器 通信 : 


ox 


最 简单 的 HTTP 操 作 包 括 一 个 使 用 web 浏 览 器 的 HTTP 和 客户 端 ， 和 一 个 HTTP 服 务 器 ， 通 第 称 
web 服务器 。 在 TCP 连 接 创建 之 后 ， 以 下 两 步 通信 过 程 如 下 : 


客户 端 请 求 : HTTP 客 户 端 根据 HTTP 协 议 标 准 发 送 HTTP 请 求 信 息 ， 该 信息 指定 客户 端 想 要 获 


取 的 资源 或 包括 准备 提供 给 服务 器 的 信息 。 

服务 器 响应 : 服务 器 读 取 并 解释 该 请 求 。 对 请 求 作 出 相应 行为 并 创建 HTTP 响 应 信息 ， 发 回 给 
客户 端 。 响 应 信息 包括 该 请 求 是 否 成 功 ， 也 包括 客户 端 请 求 的 资源 内 容 。 

HTTP 消 息 格 式 : 

使 用 HTTP 的 设备 通信 都 是 通过 HTTP 消 PER ， 其 中 只 有 两 种 类 型 : 请 求 和 响应 。 客 户 端 
通常 发 送 请 求 和 接收 响应 ， 服 务 器 接收 请 求 和 发 送 响 应 。 信 息 使 用 的 是 文本 的 形式 。 

常规 HTTP 消 息 格式 如 下 所 示 : 


< 起 始 行 > 
< 首部 字段 > 
«SH 
[< 主体 >] 
[< 尾部 >] 


网 络 基 本 功 系列 


起 始 行 包 含 消 息 的 类 型 。 请 求 消息 中 ， 这 一 行 以 方式 的 形式 表明 消息 为 请 求 类 型 ， 并 制定 一 
个 URI(Uniform Resource Ildentifier) 指 明 请 求 的 对 象 资源 。 响 应 通过 起 始 行 来 表明 请 求 响 应 的 
状态 信息 。 


首部 字段 HTTP 定 义 了 多 种 类 型 的 首部 字段 。 通 过 功能 分 组 ， 除 了 主机 头 以 外 ， 几 乎 所 有 首部 
字段 都 是 可 选 的 。 格 式 如 下 : <header-name>:<header-value> ° 


主体 也 是 可 选 的 ， 包 含 客 户 端 和 服务 器 通信 所 需 的 一 系列 信息 ， 如 响应 的 详细 错误 消息 。 更 
加 第 见 的 是 承载 文件 或 其 他 资源 ，HTTP 标 准 中 称 为 实体 。 由 于 大 多 数 客 户 端 请 求 服 务 器 发 送 
文件 或 其 他 资源 ， 实 体 在 响应 信息 中 最 为 常见 


尾部 ，HTTP/1.1 默 认 使 用 永久 链接 ， 消 息 在 服务 器 与 客户 端 之 间 以 流 的 形式 传输 ， 需 要 标记 
消息 的 结束 点 和 开始 点 。 


HTTP 请 求 消息 : 


客户 端 通 过 打开 一 个 TCP 连 接 发 起 与 服务 器 的 HTTP 会 话 ， 之 后 发 送 HTTP 请 求 信 息 
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Date: Fri, 39 May 2006 21:12:55 GMT General Headers 





HTTP 
Request 
起 始 行 
主要 有 三 个 用 途 : 
e 表明 客户 端 想 要 进行 的 命令 或 行为 
e 指定 行为 想 要 获取 的 资源 
e 告知 服务 器 客户 端 使 用 的 HTTP 版 本 
起 始 行 的 语法 为 : 
«METHOD»«request -uri»«HTTP - VERSION» 
Method 
method 就 是 客户 端 想 要 服务 器 做 什么 ， 三 种 比较 第 用 : GET > HEADTePOST ° 
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GET 从 服务 器 向 客户 端 发 送 发 送 命 名 资源 


PUT 将 来 自 客户 端的 数据 存储 到 一 个 命名 的 服务 器 资源 中 去 
DELETE 从 服务 器 中 删除 命名 资源 

POST 将 客户 端 数据 发 送 到 一 个 服务 器 网 关 应 用 程序 

HEAD 仅 发 送 命名 资源 响应 中 的 HTTP 首 部 


Request URI 


Request URI 是 请 求 所 申请 资源 的 URI。 目 前 URI 通 第 值 符合 Web URL 语 法 的 HTTP URL » A 
趣 的 是 ，HTTP 起 始 行 所 使 用 的 URL 形 式 通常 与 HTML 文 件 或 用 户 输入 的 不 同 。 这 是 因为 一 个 

完整 URL 中 的 部 分 信息 是 用 来 控制 HTTP 本 身 的 。 这 是 用 户 和 HTTP 和 客户 端 通信 所 需 ， 而 不 包 
括 在 客户 端 对 服务 器 的 请 求 中 。 在 请 求 中 指定 资源 的 标准 方式 是 在 起 始 行 中 加 入 路 径 和 文件 
名 (以 及 可 选 的 查询 信息 ) ， 同 时 在 主机 头 字 段 指定 主机 。 


例如 : 假设 用 户 输入 

URL : http://www.myfavoritewebsite.com:8080/chatware/chatroom.php， 我 们 不 需要 发 送 
http: 到 服务 器 。 客 户 端 将 余下 的 信息 拆 分 成 URI /chatware/chatroom.php 主 机 行 会 包括 
www.myfavoritewebsite.com:8080。 因此， 请 求 的 开始 内 容 如 下 


GET /chatware/chatroom.php HTTP/1.1 
Host: www.myfavoritewebsite.com: 8080 


这 一 准则 的 例外 是 当 请 求 对 象 是 代理 服务 器 时 。 这 时 请 求 就 要 使 用 完整 URL 的 形式 ， 以 使 代 
理 可 以 作为 初始 客户 端 来 处 理 该 请 求 。 请 求 如 下 所 示 : 


GET http://www.myfavoritewebsite.com:8080/chatware/chatroom.php HTTP/1.1 


请 求 首 部 
在 请 求 首部 ， 提 供给 服务 器 关于 请 求 的 详细 信息 。 所 有 请 求 首 部 都 使 用 相同 的 结构 ， 但 按照 


以 下 功能 分 类 : 


普通 报头 普通 报头 通常 指 消息 本 身 ， 通 常用 于 控制 其 处 理 过 程 或 提供 给 接收 方 额外 信息 。 这 
类 报头 不 限于 请 PNA 言 息 ， 所 以 两 者 都 可 能 出 现 。 同 样 ， 也 与 所 承载 的 实体 没有 特别 关 
系 (0) 


请 求 报 头 这 类 报头 告知 服务 器 关于 客户 端 请 求 的 更 多 信息 ， 给 予 客 户 端 更 多 关于 请 求 处 理 的 
控制 。 例 如 ， 一 些 请 求 报头 用 于 指定 条 件 请 求 ， 只 有 在 特定 条 件 时 才 执 行 。 其 他 告诉 服务 器 
响应 信息 中 客户 端 能 够 徐 立 的 格式 或 编码 。 如 : 


Accept 告诉 服务 器 端 ， 接 受 哪些 类 型 的 信息 。 


Accept-Encoding 可 接受 的 内 容 编 码 。 


Accept-Lanague 指定 一 种 自然 语言 。 


Connection 表示 是 否 需 要 持久 连接 。 如 果 Servlet 看 到 3 X X 8) 4f “Keep-Alive” ， 或 者 看 到 请 
求 使 用 的 是 HTTP 1.1 (HTTP 1.1 默 认 进 行 持久 连接 ) ， 它 就 可 以 利用 持久 连接 的 优点 ， 当 页 
面包 含 多 个 元 素 时 显著 地 减少 下 载 所 需要 的 时 间 。 


Cookie 最 重要 的 请 求 头 信息 之 一 ， 每 次 请 求 时 都 会 携带 上 Cookie 以 方便 服务 器 端 识别 是 否 是 

同一 个 客户 端 。 

Host host 请 求 报 头 域 主 要 用 于 指定 被 请 求 资 源 的 Internet 主 机 和 端口 号 ， 它 通 第 从 HTTP URL 

中 提取 出 来 。 

— 代理 ， 一 般 情 况 是 浏览 颈 。 我 们 上 网 登陆 论坛 的 时 候 ， 往 往 会 看 到 一 些 欢迎 

信息 ， 其 中 列 出 了 客户 端 操作 系统 的 名 称 和 版 本 ， 所 使 用 的 浏览 器 的 名 称 和 版 本 ， 实 际 上 ， 
此 


服务 器 应 用 程序 就 是 从 User-Agent 这 个 请 求 报头 域 中 获取 到 这 些 信息 。User-Agent 请 求 报头 
域 允许 客户 端 将 它 的 操作 系统 、 浏 览 器 和 其 它 属性 告诉 服务 器 。 
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更 多 信息 
HTTP 回 复 信息 : 


每 一 个 HTTP 客 户 端 发 送 给 服务 器 请 求 都 会 要 求 服务 器 发 回响 应 信息 。 在 特定 情况 下 ， 服 务 器 
会 发 回 两 条 响应 ， 一 条 初步 响应 和 一 条 实际 上 的 响应 。 一 般 ， 一 个 请 求 产生 一 个 响应 ， 表 明 
服务 器 对 于 该 请 求 的 处 理 结 果 ， 并 且 响 应 往往 消息 主体 还 携带 一 个 实体 (文件 或 资源 ) © 
( 微 信号 : EMC Support) 


响应 消息 格式 如 下 


< 状态 行 > 
< 响应 首部 > 
< 响应 实体 > 


如 下 图 所 示 。 


HTTP/1.1 200 OK Status Line 
me feds A i a 21:12:58 D General Headers 





HTTP 
| Response 





状态 行 


状态 行 是 响应 信息 的 起 始 行 ， 作 用 有 两 个 : 告知 客户 端 服 务 器 使 用 的 协议 版 本 以 及 沟通 客户 
端 请 求 的 处 理 结果 。 状 态 行 语法 格式 如 下 


网 络 基 本 功 (二 十 二 ) : £893 AHTTP (T) 109 


<HTTP-VERSION><status -code><reason-phrase> 


HTTP 版 本 


态 行 中 的 HTTP-VERSION 标 签 与 请 求 信息 中 的 目的 一 样 。 服 务 器 要 求 返 回 的 版 本 号 不 得 高 
22 端 发 送 的 版 本 号 。 


响应 码 和 文本 描述 
状态 码 和 文本 描述 提供 客户 端 请 求 处 理 结果 的 信息 。 服 务 器 通过 3 位 数字 状态 码 告知 客户 端 处 
理 结果 。 目 的 是 为 了 方便 客户 端 HTTP 软 件 采取 合适 的 行动 。 文 本 描述 将 服务 器 响应 显示 给 客 


PRAP o 


态 代 码 由 3 位 数字 组 成 ， 表示 请 求 是 否 被 理解 或 被 满足 ， 状 态 描述 给 出 了 关于 状态 码 的 简 
en 人 o 状态 码 的 第 一 个 数字 定义 了 响应 类 别 ， 后 面 两 位 数字 没有 具体 分 类 。 第 一 个 
数字 有 5 种 取 值 ， 如 下 所 示 。 


e 1xx : 指示 信 Ec 求 已 经 接受 ， 继 续 处 理 





e 2xx : 成 功 清 求 已 经 被 成 功 接收 、 理 解 、 接 受 。 
e 3XX: EZE 请求 必须 进行 更 进一步 的 操作 








e Axx: 客户 端 错误 esie 错误 或 请 求 无 法 实现 
e 5xx : 服务 器 端 错误 器 未 能 实现 合法 的 请 求 。 





常见 状态 代码 、 状 态 描 述 、 说 明 : 


200 OK // RP 3 il RBA 

400 Bad Request // 客 户 端 请 求 有 语法 错误 ， 不 能 被 服务 器 所 理解 

401 Unauthorized //i& 求 未 经 授权 > 这 个 状态 代码 必须 和 WwwW-Authenticate 报 头 域 一 起 使 用 
403 Forbidden // 服 务 器 收 到 请 求 ， 但 是 拒绝 提供 服务 

404 Not Found // 请 求 资源 不 存在 ， eg : 输入 了 错误 的 URL 

500 Internal Server Error // 服 务 器 发 生 不 可 预期 的 错误 

503 Server Unavailable // 服 务 器 当前 不 能 处 理 客 户 端的 请 求 ， 一 段 时 间 后 可 能 恢复 正常 


响应 首部 
响应 首部 可 能 包括 : 
Location ( € X 9) 


Location 响 应 报头 域 用 于 重 定 向 接受 者 到 一 个 新 的 位 置 。 例 如 : 客户 端 所 请 求 的 页 面 已 不 存在 
原先 的 位 置 ， 为 了 让 客户 端 重 定 向 到 这 个 页 面 新 的 位 置 ， 服 务 器 端 可 以 发 回 Location 响 应 报头 
后 使 用 重 定 向 语句 ， 让 客户 端 去 访问 新 的 域名 所 对 应 的 服务 器 上 的 资源 。 当 我 们 在 JSP 中 使 用 
重 定向 语句 的 时 候 ， 服 务 器 端 向 客户 端 发 回 的 响应 报头 中 ， 就 会 有 Location 响 应 报头 域 。 


Server 响 应 头 Server 响 应 头 包 含 处 理 请 求 的 原始 服务 器 的 软件 信息 。 此 域 能 多 个 产 
品 标识 和 注释 ， 产 品 标识 一 般 按 照 重 要 性 排序 。 它 和 User-Agent 请 peepee ee ay > ÀT 
者 发 送 服务 器 端 软件 的 信息 ， 后 者 发 送 客 户 端 软件 (浏览 器 ) 和 操作 系统 的 信息 。 下 面 是 Server 


响应 报头 域 的 一 个 例子 : Server: Apache-Coyote/1.1 


实体 头 请 求 消息 和 响应 消息 都 可 以 包含 实体 信息 ， 实 体 信息 一 般 由 实体 头 域 和 实体 组 

成 。 实 体 头 域 包 含 关于 实体 的 原 信 息 ， 实 体 头 包括 Allow、Content- Base ` Content- 
Encoding ` Content-Language ` Content-Length ` Content-Location ^ Content-MD5 ^ 
Content-Range ` Content-Type ^ Etag ^ Expires ^ Last-Modified ` extension-header ° 
extension-header 允 许 客 户 端 定义 新 的 实体 头 ， 但 是 这 些 域 可 能 无 法 未 接受 方 识 别 。 实 体 可 以 
是 一 个 经 过 编码 的 字 节 流 ， 它 的 编码 方式 由 Content-Encoding 或 Content-Type 定 义 ， 它 的 长 
上 度 由 Content-Length 或 Content-Range 定 义 。 


Content-Type 实 体 头 用 于 向 接收 方 指 示 实 体 的 介质 类 型 ， 指 定 HEAD 方 法 送 到 接收 方 的 实体 介 
质 类 型 ， 或 GET 方 法 发 送 的 请 求 介质 类 型 ， 如 : "application/octet-stream" ° 


Last-modified : 实体 头 指 定 服 务 器 上 保存 内 容 的 最 后 修订 时 间 。 


Accept-Ranges : 这 个 字段 说 明 Web 服 务 器 是 否 支 持 Range (是 否 支 持 断 点 续 传 功能 ) ， 如 果 
支持 ， 则 返回 Accept-Ranges : bytes， 如 果 不 支持 ， 则 返回 Accept-Ranges : none ° 


Content-Encoding : 文档 的 编码 (Encode) 方法 。 它 的 值 指 示 了 已 经 被 应 用 到 实体 正文 的 附 
加 内 容 编 码 ， 因 而 要 获得 Content- Type 报头 域 中 所 引用 的 媒体 类 型 ， 儿 须 采 用 相应 的 解码 机 
制 。Content-Encoding 主 要 用 语 记 录 文 档 的 压缩 方法 ， 下 面 是 它 的 一 个 例子 : Content- 
Encoding: gzip。 如 果 一 个 实体 正文 采用 了 编码 方式 存储 ， 在 使 用 之 前 就 必须 进行 解码 。 


Expires : 给 出 响应 过 期 的 日 斯 和 时 间 。 通 常 ， Shines 器 或 浏览 器 会 缓行 一 些 页 面 。 当 用 户 
再 次 访问 这 些 页 面 时 ， 直 接 从 缓存 中 加 载 并 显示 给 用 户 ， 这 样 缩短 了 响应 的 时 间 ， 减 少 服务 

器 的 负载 。 为 了 让 代理 服务 器 或 浏览 cai 间 后 更 新 页 面 ， 我 们 可 以 使 用 Expires 实 体 报 
头 域 指定 页 面 过 期 的 时 间 。 当 用 户 又 一 次 访问 页 面 时 ， 如 果 Expires 报 头 域 给 出 的 日 期 和 时 间 
比 Date 普 通报 头 域 给 出 的 日 期 和 时 间 要 时 (或 相同 )， 那 么 代理 服务 器 或 浏览 器 就 不 会 再 使 用 缓 
存 的 页 面 而 是 从 服务 器 上 请 求 更 新 的 页 面 。 不 过 要 注意 ， 即 使 页 面 过 期 了 ， 也 并 不 意味 着 服 
务 器 上 的 原始 资源 在 此 时 间 之 前 或 之 后 发 生 了 改变 。 


Refresh : 表示 浏览 器 应 该 在 多 少时 间 之 后 刷新 文档 ， 以 秒 计 。 除 了 刷新 当前 文档 之 外 ， 你 
可 以 通过 — —— "5; URL=http:Whost/path") 让 浏览 器 读 取 指定 的 页 面 。 注 意 这 
种 功能 通 稼 是 通过 设置 HTML 页 面 HEAD 区 的 <META HTTP-EQUIV="Refresh" 
CONTENT="5;URL=hitp://host/path"> S 3l o 


Allow : 服务 器 支持 哪些 请 求 方法 〈 如 GET、POST 等 ) 。 


Content-Disposition : 打开 一 个 网 页 时 ， 浏 览 器 会 首先 看 是 否 有 Content-Disposition: 
attachment 这 一 项 » 4 &“Content-Disposition: attachment" FT Æ F XX > “Content- 
Disposition:inline" c Æ 2X, 4T FFX fF 


下 面 是 一 个 响应 消息 


HTTP/1.1 200 OK 

Date: Mon, 27 Jul 2009 12:28:53 GMT 

Server: Apache 

Last-Modified: Wed, 22 Jul 2009 19:15:56 GMT 
ETag: "34aa387-d-1568eb00" 

Accept-Ranges: bytes 

Content-Length: 51 

Vary: Accept-Encoding 

Content-Type: text/plain 


HTTP7 i: 
GET 


GET 方 法 请 求 服务 器 检索 由 该 HTTP 请 求 中 的 URL 指 定 的 资源 并 在 回复 中 发 给 客户 端 。 这 是 最 
MEET ， 也 是 占 大 多 数 的 HTTP 数 据 流 。 妆 你 输入 一 个 篆 规 URL 或 点 击 一 个 文档 中 的 
链接 ， 通 常 就 是 提示 Web 浏 览 器 发 送 GET 请 求 。 


对 于 GET 的 处 理 取决 于 若干 因素 。 如 果 URL 正 确 并 且 服 务 器 能 够 找到 资源 ， 会 发 送 合适 的 响 

应 给 客户 端 ? 返回 资源 需 取 决 于 请 求 对 象 的 特性 。 如 果 无 法 妥当 处 理 请 求 ， 则 会 产生 一 个 错 

误 信 息 。 在 使 用 缓存 的 情况 下 ， 代 理 服务 器 甚至 客户 端 自己 就 可 以 满足 请 求 。 对 于 某 种 特定 

报头 如 |f-Modified-Since X If-Match ，GET 请 求 的 含义 可 能 随 之 而 改变 ， 要 求 服务 器 仅 在 满 

cigs “ 件 时 发 送 资源 。 这 类 请 求 称 为 条 件 GET。 类 似 的 ， 客 户 端 可 以 使 用 Range 头 来 要 求 
及 务 器 仅 发 送 部 分 资源 。 这 类 请 求 称 为 部 分 GET © 


HEAD 


HEAD 方 法 同 GET， 但 告知 服务 器 不 要 发 送 消息 实体 。 和 客户 端 通常 使 用 这 种 方法 来 检查 资源 是 
否 存 在 ， 状 态 ， 或 文件 大 小 ， 再 决定 是 否 需 要 服务 器 etree 。 HEAD 74 R 89 2b 2 4 GET 
相同 ， 除 了 只 返回 头 部 而 不 返回 实际 的 资源 之 外 。 


POST 


POST 方法 允许 客户 端 发 送 任意 数 据 的 实体 到 服务 器 以 进行 处 理 。 它 通 浓 同 于 客户 端 提交 例如 
交互 式 HTML 信 息 给 服务 器 程序 ， 之 后 服务 器 作出 行动 并 发 回响 应 。 这 种 方法 用 于 各 种 在 线 进 
程 。 请 求 中 的 URL 指 定 服 务 器 上 接受 数据 的 程序 名 。 


PUT 


这 种 方法 请 求 服 务 器 将 请 求 中 的 实体 保存 在 请 求 中 的 URL 里 。PUT 中 ，URI 指 明 请 求 中 的 实 
体 ， 因 而 PUT 能 够 让 文件 复制 到 服务 器 ， 在 GET 请 求 中 文件 能 够 被 复制 到 客户 端 。 与 之 相 
反 ，POST 中 URI 标 识 的 程序 处 理 请 求 中 的 实体 ， 因 此 通常 应 用 于 交互 式 程序 。PUT 用 法 很 
多 ， 如 上 传 内 容 到 网 站 ， 这 种 情况 下 必须 加 以 认证 。 但 是 ， 在 站 点 上 存储 文件 通常 使 用 其 他 
方式 ， 如 FTP ° 


TRACE 


客户 端 通过 这 种 方法 接收 发 至 服务 器 的 请 来 ， 用 于 诊断 目的 。 


RA 
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网 络 基 本 功 (二 十 三 ) :Wireshark4f & 3: 4|32 Wf 
TCP 22 4£ Iv] 4 
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前 文 论述 了 TCP 基 础 知识 ， 从 本 节 开 始 ， 通 过 TCP 抓 包 实 例 来 诊断 TCP 第 见 问 题 。 


TCP 进 程 通 讯 时 ， 双 方 打 开 连 接 ， 发 送 数 据 ， 最 后 关闭 连接 。 当 TCP 打 开 连 接 时 ， 从 源 端 口 
到 目的 端口 发 送 一 个 请 求 。 在 应 用 建立 或 关闭 时 可 能 发 生 一 些 问题 。 本 文 讨论 用 Wireshark 网 
包 的 方法 来 定位 及 解决 这 一 问题 。 


Wy 
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问题 的 表现 形式 : 

问题 可 能 有 多 种 表现 类 型 : 

e 尝试 运行 应 用 程序 但 发 现 应 用 程序 无 法 工作 。 尝 试 浏览 网 络 但 无 法 获得 响应 。 


© 尝试 发 送 邮 件 但 无 法 连 援 到 邮件 服务 器 。 


e 问题 可 能 由 简单 原因 引起 ， 如 服务 器 宕 机 ， 服 务 器 上 没有 运行 应 用 程序 ， 或 在 客户 端 到 
及 务 器 的 某 一 处 网 络 断 开 。 


zm 


e 问题 也 可 能 由 复杂 原因 引起 ， 如 DNS 问题 ， 服 务 器 内 存 不 足 无 法 连接 (例如 某 一 应 用 占 
用 高 内 存 空 间 ) ， 重 复 IP， 以 及 其 他 原因 。 


处 理 方 法 : 


TRT 28 AR R e] AR 05] AR AA Ae p ALR E RA TCP 4A A o iE CHR o’ a Aa 
用 程序 时 无 法 得 导 到 任何 结果 。 


你 在 运行 一 个 应 用 程序 时 ， 例 如 数据 库 客 户 端 ， 邮 件 穴 户 端 ， 观 看 视频 等 等 ， 而 又 无 法 获 
输出 ， 按 照 以 下 步骤 诊断 : 


1， 确 认 服 务 器 和 应 用 程序 正在 运行 。 
2， 确 认 客 户 端正 在 运行 ，IP 地 址 已 配置 (手动 或 通过 DHCP) ， 并 连接 至 网 络 。 

3，Ping 服 务 器 并 确认 连接 正常 

4. 在 某 些 情况 下 ，ping 不 通 服务 器 但 连接 正常 。 这 是 由 于 防火 墙 拦 截 了 ICMP 人 和 信息， 所 以 如 


网 络 基 本 功 系列 


果 无 法 ping 通 并 不 一 定 表示 连接 有 问题 。 防 火 墙 可 能 是 网 络 中 的 专用 设备 或 
Windows/Linux/UNIX 终 端 设备 上 安装 的 防火 墙 。 


5. 抓 包 文件 中 ， 查 找 以 下 模式 : 
。 三 重 SYN 信 息 而 没有 响应 ( 见 以 下 截屏 ) 
e SYN 信 息 带 一 个 reset(RST) 响 应 


这 两 种 情况 下 都 有 可 能 是 防火 墙 拦截 了 特定 应 用 程序 或 应 用 程序 没有 在 运行 


以 下 截屏 是 一 个 简单 的 case : BP 39 HIKE 4€ 8l weblk SF 481.218.31.171 ( 报 文 61,62 和 
63) 。 可 能 是 由 于 不 被 防火 墙 允 许 ， 或 服务 器 发 生 故 障 。 可 以 看 到 另 一 个 站 点 
108.160.163.43 ( 报 文 65,66 和 67) 的 连接 正常 ， 因 此 连接 问题 仅 限 于 81.218.31.171。 





下 例 是 一 个 这 种 情况 相对 复杂 的 case。 该 cease 中 ， 窜 户 想 要 登录 到 camera 服 务 器 来 访问 远程 
站 点 的 camera。camera 服 务 器 的 IP 地址 为 135.82.12.1， 问 题 在 于 客户 能 够 看 到 服务 器 主页 上 
的 登录 禄 口 ， 但 无 法 登 进 系统 。 在 下 面 的 截图 中 可 以 看 到 ， 打 开 了 一 个 到 |P 地 址 135.82.12.1 
的 连接 。 到 HTTP 服 务 器 的 TCP 连 接 是 打开 的 ， 一 开始 看 上 去 没有 连接 问题 : 


= [v] Expression. Clem Apply Save 
_ Destinabon ] Pratecol Lengeh 





当 我 们 过 滤 出 目的 IP 地 址 为 135.82.12.1 的 数据 流 ， 也 就 是 camera 服 务 器 。 这 里 可 以 看 到 ， 当 
尝试 连接 TCP 端 口 6036 时 ， 得 到 了 一 个 RST/ACK 响 应 ， 有 以 下 可 能 性 : 


e 防火 墙 拦 堆 了 端口 6036 
e 如 果 配 置 了 端口 地 址 转换 (PAT) ， 那 么 仅 转 换 端 口 80 而 非 6036 


e 用 户 名 和 需 码 验证 是 在 TCP 端 口 6036 上 完成 的 ， 防 火 墙 仅 允许 端口 80， 验 证 被 拦截 ， 应 
用 无 法 工作 
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"FN ID T2 Erra A If AIN Tell TEEN -Tu Le]? 1H mm 


总 之 ， 当 无 法 正 第 连接 服务 器 时 ， 检 查 服 务 器 和 客户 端 是 否 所 有 TCP/UDP 端 口 都 能 通过 网 络 
转发 ， 以 及 是 否 有 未 知 的 端口 。 


工作 过 程 


过 
TCP 连 接 开 始 时 ， 发 生 了 以 下 三 步 


Server- 
5 | 88.221.152.170 
YN, SEQ«0, W5z8193 | 


In TCP header: 

SYN/ACK - TEP flags ,$ pia : — In TCP Header Options: 

SEQ- Sequence number | NSS — Maximum Segment Size 

ACK — Acknowledge number CK, ACR = WS — Window Size (Factor) 

W5- TCP Window Size i SACK PERM — Selective ACK Permitted 





1. 客户 端 TCP 进 程 发 送 了 一 个 SYN 报 文 。 该 报 文中 SYN 标 志 位 设置 为 1°。 这 一 报 文中 客户 端 : 


e 指定 自己 的 初始 序列 号 。 这 是 客户 端 发 送 给 服务 器 的 第 一 个 字 节 。 

e 指明 自己 的 窗口 大 小 。 这 是 客户 端 分 配给 进程 的 缓存 大 小 (位 于 客户 端的 RAM) © 
e 设置 自己 将 要 使 用 的 选项 : MSS > Selective ACK， 等 等 。 

2. 当 服 务 器 收 到 建立 连接 请 求 ， 服 务 器 
e 发 送 SYN/ACK 给 客户 端 ， 确认 接收 到 SYN 请 求 。 
e 指明 服务 器 端的 初始 序列 号 。 这 是 服务 器 发 送 给 客户 端的 第 一 个 字 节 。 
e 指明 服务 器 的 窗口 大 小 。 这 是 服务 器 分 配给 进程 的 缓存 大 小 (位 于 服务 器 RAM) © 
e 回复 请 求 选项 并 设置 服务 器 端 选 项 。 

3. 当 接收 到 服务 器 的 SYN/ACK， 窜 户 端 : 
e 发 送 ACK 报 文 给 服务 器 ， 确 认 从 服务 器 接收 到 SYN/ACK. 


e 指明 客户 端 窗口 大 小 。 尽 管 这 一 参数 在 第 一 个 报 文中 定义 过 了 了， 服务 器 还 是 会 参考 这 个 
值 ， 因 为 这 是 最 新 的 窗口 大 小 。 
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在 TCP 头 部 的 选项 字段 中 ， 有 以 下 几 个 主要 选项 : 


e Maximum Segment Size (MSS) : TCP 数 据 报 的 最 大 字 节 数 ， 即 从 TCP 头 部 开始 直到 
报 文 末 尾 的 字 节 数 。 


e Windows Scale Option (WSopt) : 这 一 因子 与 TCP 头 部 的 Window Size 字 段 相 乘 ， 通 知 接 
收 方 扩 大 缓存 。 由 于 头 部 和 大 窗口 大 小 是 64KB， 乘 以 因子 4 也 就 是 256KB 窗 口 大 小 。 


e SACK : Selective ACK， 该 选项 使 连接 双方 能 够 仅 确 认 指 定 报 文 ， 当 单个 报 文 丢失 ， 只 
有 这 个 报 文 会 被 重 传 。 连 接 建立 时 ， 双 方 都 需要 同意 SACK。 


e Timestamps Option (TSopt) : 该 参数 指 客户 端 和 服务 器 之 间 的 延 时 。 
在 这 = 全 阶段 3 双方 

e 同意 建立 连接 

e 知道 对 方 的 初始 序列 号 

e 知道 对 方 的 禄 口 大 小 


在 建立 连接 时 ， 除 了 三 路 握手 信号 之 外 ， 其 他 都 表示 有 问题 。 包 括 SYN 没 有 响应 ，SYN 
之 后 SYN/ACK 最 后 没有 ACK，SYN 响 应 为 RST， 等 等 。 


js- 


ox 


。 如 果 SYN 报 文 收 到 回复 RST， 则 检查 拦截 了 port 号 的 防火 墙 。 


。 三 次 SYN 而 没有 任何 回复 ， 或 者 是 由 于 应 用 程序 没有 响应 ， 或 者 是 由 于 防火 墙 拦截 了 特 
定 端口 上 的 请 求 。 


e 永远 记 住 确认 一 下 是 否 有 NAT， 端 口 转发 ， 以 及 涉及 TCP 和 UDP 端 口 的 机 制 。 这 些 机 制 
可 能 会 中 断 TCP 正 常 操作 。 


A 


Network Analysis Using Wireshark Cookbook 
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TCP 重 传 


转载 请 在 文 首 保 留 原文 出 处 : EMC 中 文 支 持 论 坛 https://community.emc.com/go/chinese 





TCP 发 送 一 个 或 一 组 报 文 ， 会 等 待 收 到 报 文 的 确认 信息 。 重 传 ， 即 发 生 在 报 文 没有 到 达 或 确 
认 信 息 没 有 及 时 返回 的 情况 下 。 当 发 现 网 速 变 慢 时 ， 原 因 之 一 可 能 就 是 重 传 。 发 生 重 传 的 原 


因 有 多 种 ， 在 客户 机 或 服务 器 两 边 端口 应 用 Wireshark 有 助 于 诊断 问题 。 本 文通 过 抓 包 实例 阅 
述 各 种 可 能 性 。 
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诊断 过 程 


在 相应 端口 开始 抓 数据 。 

找到 Analyze | Expert Info 菜 单 。 

在 Notes 之 下 ， 查 找 Retransmission ° 

点 击 (+) 符号 即 可 打开 重 传 列 表 。 鼠 标点 击 各 行 可 在 抓 包 面板 看 到 重 传 报 文 。 
现在 问题 来 了 ， 怎 样 定位 问题 呢 ? 

通过 以 下 方式 查看 重 传 来 自 哪里 : 


oa rFwWN 一 


o 在 Expert Info 窗 口 一 个 一 个 查看 报 文 ， 在 抓 包 面板 查看 哪些 是 重 传 报 文 (适合 于 有 经 
验 的 用 户 ) 


在 报 文 面板 ， 配 置 显示 过 滤器 expert.message == “Retransmission (suspected)” > Pp 


可 看 到 抓 包 文件 中 所 有 重 传 报 文 
o 应 用 过 滤器 ， 在 Statistics & Conversations 窗 口 查看 Limit to display filter 部 分 。 


Case 1 : 重 传 至 多 个 目的 地 址 
以 下 截屏 中 ， 可 看 到 有 多 次 重 传 ， 分 布 于 多 台 服 务 器 ， 目 的 端口 号 为 80 (HTTP) 。 也 可 以 发 


现 重 传 由 端口 10.0.0.5 发 送 ， 因 此 报 文 是 丢失 在 发 往 |nternet 的 途中 ， 或 确认 信息 没有 及 时 从 
Web 服务 器 发 回 。 


E == Paimahan [suspected 





问题 发 生 在 发 往 Internet 的 线路 上 ， 怎 样 知 道 是 什么 问题 呢 ? 


1 从 Statistics 杀 单 ， 打 开 IO Graph 。 

2. 本 例 中 ， 可 看 到 链 路 负载 非常 低 。 可 能 是 有 故障 ， 或 有 另 一 条 高 负载 链 路 o 

3. 可 以 通过 登录 到 通信 设备 或 SNMP 浏 Dd ERA ER ; 报 文 丢失 及 错误 。 参 考 以 
TAE : 


Color | Filter: Stvle: Li | Tick inferval: 1 sec 


Pixels per tick: 


[Gra ph2 | Color | Filter: | 
ey = View as time of day 


! | Y Axis - 
| Graph 4 | Color | Filter: | tyle Unit C Bits/Tick 


Graph 3 | Color | Filter: 


| | Graph 5, Filter: style: Li "| Scale: Auto 


Smooth: No filter 


Save Close 





Case2: 重 传 至 单一 连接 


如 果 所 有 重 传 发 生 于 同一 |P， 同 一 TCP 端 口号 ， 则 可 能 是 慢 速 应 用 引起 。 看 以 下 截屏 : 


[=] Erpreminn.. 


Disztinabon 





对 于 单一 连接 的 重 传 ， 进 行 以 下 操作 : 


1， 从 Statistics 菜 单打 开 Conversations， 选 择 Limit to display filter， 可 以 看 到 所 有 发 生 重 传 
a hae 
2， 如 下 图 所 示 ， 通 过 选择 IPv4 标 签 可 看 到 从 哪个 IP 地址 重 传 : 


M Conversations: Sni3 —- 10-11-2003 --- 1706.cap " 


IPv4 Conversations - Filter: expert.message zz ieee (suspected) 


eS 4 BL 4 Packets À= 4 Bytes A—B 4 Packets A= E 4 Bs have =f 1 E a 4 n i bp A= 1 bps A—B 1 








3. 如 下 图 所 示 ， 通 过 选择 TCP 标 签 看 到 重 传 来 自 哪 一 端口 : 


il Conversations Srif = 10-11-2003 -= 1708.cap 


Ethemet: 1 | Fiere Channel | FED | rate 1 | IP TA | cp | eve | scri] TEP: | 


TOP Conversations - Filter expert.message sa "Retrensmession (suspected) 
Addn A | Peet A 1 Addi E 1 Feo 1 Fackeli * Bie 1 Packet A-E * Bytes &-—BH * Packets AB Y Byte A=B 4 al Shan 1 Duration * bpr A=B 4 bps A=H i 
101.2200 — 2330 103 Sle i LBS 7656005 I 138 SHG 13993705001 87.4711 HA 2129213 
101.1200 — 15072 10.90. 30.]2 i & 1% 385 12 30143157700] 15.7228 137.33 611.53 
101.1-00 — 1972 10.90. 30.17 ig ; 3 1027 77.20179900] 12.312] 240.55 bony 
191.3220 — 19 10-96. 201] n Z 613 18317254000 54073 MA LS 


LOLI 1977 10.90. È T TO En 5078 N/A 1035.04 
1990.31.17 1178 dl. ZI 1 =e I l i HA — 0563877000 Be 2566 KA r- EF] 


Follow Sireani Graph AE Graph 蕊 一 点 





1. 查看 IO graph， 确 保 链 路 不 忙 。〈 链 路 忙 的 表征 例如 流量 接近 带宽 。 例 如 ， 带 宽 为 
10Mbps， 在 IO graph 中 看 见 流量 接近 10Mbps， 这 就 表明 链 路 负载 较 高 。 不 忙 的 链 路 1O 
会 有 很 多 高 低 起 落 ， 峰 值 以 及 空闲 间隙 ) 。 

2， 如 果 链 路 不 忙 ， 则 可 能 是 服务 器 对 于 IP 地 址 10.1.1.200 有 问题 (10.90.30.12 发 送 了 绝 大 

多 数 重 传 ， 所 以 可 能 是 10.1.1.200 响 应 较 慢 ) 
3. 从 报 文 面板 可 以 看 出 应 用 是 FTP 数 据 。 有 可 能 FTP 服 务 器 工作 于 active 模 式 。 因 此 在 端口 


2350 打 开 连 接 ， 服 务 器 将 端口 更 改 为 1972， 所 以 可 能 是 慢 速 FTP 软 件 响应 问题 引起 的 重 
传 。 


Case 3 : 重 传 模式 


观 守 TCP 重 传 的 一 个 重要 考量 是 是 否 能 看 出 一 些 重 传 模 式 。 在 以 下 截屏 中 ， 可 以 看 见 所 有 重 
传 来 自 单一 连接 ， 位 于 客户 端 与 服务 器 的 NetBIOS 会 话 服务 (TCP 端 口 139) © 


E Wireshark: 1164 Exp 


Errors: 0 (0) | Wamnngs: 0 (0) | Motes: 10 (1164) | Chats: 0 (D) | Details: 1164 | Packet Comments: Ü | 


Group 4 Protocol 4 Summary 
E Sequence TCP Duplicate ACK (#1) 
€ Sequence TCP Duplicate ACK (#2) 
H Sequence TCP __ Fast retransmission (suspected) 
s Sequence TCP Retranismmessien (suspected) 
€ Sequence TCP Duphcate ACK (#3) 
€ Sequence TCP Duphecate ACK ($4) 
5 Sequence IC P Duplica ksj 
€ Sequence TCP [il aei — áp 
5 Sequence TCR | 
Ethemet: 1 | Fitre Channel | FD | IPvä: | Py 
TCP Conversations - Filter: expert.message zz “Retransmission (suspected) 


In 


Marne resolution x J) Limit to display filter 


Help LOp | Follow Stream 








看 起 来 像 一 个 简单 的 服务 器 /客户 端 问题 ， 但 查看 抓 包 面板 ， 如 下 图 所 示 : 


Filter expert.mesiage == “Retransmission [suspected] " "| Expression... Clear ^ 


Source Destination Protocol 





可 以 看 见 重 传 总 是 周期 性 的 每 30ms 发 生 一 次 。 问 题 是 由 于 客户 端 在 软件 中 执行 了 财务 进程 ， 
导致 软件 每 30-36ms 就 减速 一 次 。 


Case 4 : 应 用 无 响应 导致 重 传 


另 一 个 可 能 导致 重 传 的 原因 是 客户 端 或 服务 器 没有 响应 请 求 。 这 种 情况 下 ， 会 看 到 五 次 重 
传 ， 时 间 也 会 逐渐 延长 。 五 次 连续 重 传 后 ， a 4 X reset 
来 关闭 连接 ， 取 决 于 软件 实施 ) 。 断 开 连 接 之 后 ， 可 能 会 发 生 两 件 事情 


e 发 送 SYN 请 求 至 客户 端 ， 以 打开 一 个 新 的 连接 。 这 种 情况 下 用 户 会 看 到 应 用 冻结 ， 过 
15-20 秒 之 后 重新 开始 工作 。 
e 不 发 送 SYN， 用 户 需 要 重新 运行 应 用 程序 (或 应 用 程序 的 一 部 分 ) 


下 图 显示 了 打开 新 连接 的 情况 : 





Case5: 由 于 延 时 变化 导致 重 传 


TCP 能 够 充分 容忍 延 时 ， 前 提 是 延 时 大 小 不 发 生变 化 。 当 延 时 改变 时 ， 就 会 发 生 重 传 。 诊 断 
直人 否 由 该 原因 引起 的 方法 : 


1. 第 一 件 事 是 ping 目 的 地 址 ， 并 且 得 到 检查 通信 和 链 路 延 时 的 第 一 条 信息 。 
2， 检 查 延 时 变量 ， 可 能 由 以 下 原因 引起 : 
o 由 于 不 稳定 或 繁忙 通信 和 链 路 引起 。 这 种 情况 下 ， 可 以 看 到 ping 命 令 的 延 时 变化 ， 通 第 


由 于 带宽 较 罕 。 
o 由 于 应 用 过 载 或 资源 不 足 ve 
o 通信 设备 过 载 (CPU, 缓 存 ) 引起 延 时 。 检 查 方 式 直接 连接 通信 设备 。 
3. 使 用 Wireshark 工 具 诊 断 延 时 间 题 。 


如 果 重 传达 到 0.5 个 百分比 ， 性 能 就 会 下 降 ， 断 开 连 接 将 会 达到 5 个 百分比 。 这 取决 于 应 用 及 
其 对 于 重 传 的 敏感 性 。 


定位 重 传 问题 
你 看 到 通信 链 路 上 发 生 重 传 ， 进 行 以 下 步骤 


， 定 位 问题 是 一 个 特定 IP 地 址 ， 特 定 连接 ， 特 定 应 用 ， 还 是 其 他 问题 。 
2.， 查 看 问题 是 否 由 于 通信 和 链 路 ， 丢 包 ， 慢 速 服务 器 还 是 PC。 查 看 应 用 是 否 慢 速 。 
3， 如 果 不 是 由 于 上 述 原 因 ， 检 查 延 时 变化 。 





工作 原理 : 


网 络 基 本 功 系列 


TCP 序 列 号 /确认 机 制 详 见 前 文 : 网 络 基 本 功 (+) : 细 说 TCP 确 认 机 制 。 那 么 重 传 是 由 什么 
原因 引起 呢 ? 当 报 文 确认 信息 丢失 ， 或 ACK 没 有 及 时 到 达 ， 发 送 方 会 进行 以 下 两 步 操作 : 


1， 再 次 发 送 报 文 
2. 减少 吞吐 量 。 


更 多 TCP 重 传 内 容 详 见 前 文 : 网 络 基 本 功 ( 九 ) : 细 说 TCP 重 传 。 
以 下 图 中 展示 了 重 传 减 少 发 送 方 吞 吐 量 《红色 细 线 ) 


bM 


2605. 
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重 传 。 这 一 现象 的 发 生 也 是 由 于 性 能 问题 ， 本 草 讨 


Oo 


TCP 的 一 大 第 见 问题 在 于 重复 ACK 与 快 
论 如 何 发 现 这 一 问题 以 及 他 们 意味 着 什 


S & 


A Hh LAA RE AV RAR HR X XETIEOUT o R-MEMNTARKRRE OT 
能 是 由 于 网 络 问题 或 是 抓 包 中 断 。 


更 多 信息 


重复 ACK 与 快速 重 传 ; 


当 网 速 变 慢 时 ， 重 复 ACK 是 可 能 的 原因 之 一 。 Meis 数 情况 下 ， 重 复 ACK 的 发 生 是 由 于 高 延 
|] > AEGR 84 BIL RAK MACK RAYS RAS o 


， 当 重复 ACK 的 数量 保持 在 合理 范围 时 ， 即 1 或 2 个 百分比 ， 则 可 能 不 是 本 机 问题 。 
2， 当 有 大 量 的 重复 ACK 时 (假设 有 10 个 ) ， 则 可 能 


o 通信 链 路 繁忙 引起 延迟 改变 
o 服务 器 或 客户 端 无 响应 
3， 快 速 重 传 是 对 重复 ACK 的 响应 报 文 。 


4. 下 图 是 该 问题 的 示例 。 本 例 中 51 个 重复 人 ACK 之 后 发 生 了 快速 重 传 : 


15.192.45.26 10.0.0 06| FTP Data: 1452 bytes ae 
Fre Date: 1452 bytes 了、 | 
15.192.45.26 10.0.0.7 FTP-DATA — 1S06|FTP Data: 1452 bytes —— — 


15.192.45.26 10.0.0.7 FTP-DATA 15 »06 [T cP Fas t ‘Retrans smission|] FTP Data 145? b 
D.U.U.7. 45.75 ep EUU LACK] SeqsIr&AckslI45E5, ES : 


15.192.45.26 10. o. 0. y FTP- DATA 1506 FTP Data: 1452 s= 


» Ethe :7b:a2 (14: d6: 4d:f4:7b:a2 , Dst: HonHaiP :88:73) 

1 Inte pre: 15.192.45.26 (15.192]45.26), Ost: lU-v.v. 

s Trà Sre Port: 44600 (44600)| Dst Port: 56247 (56247), sağ: 14593377, Ack: 1, Len: 
So E 

Dastinution: sorts a (56247) 

[Stream index: 64] 

Sequence numbe "tT T Tem) 

[Next sequence number: 84829 (relative sequence number)] 

Acknowledgment number: 1 relative ack number 





5， 以 下 是 如 何 解 决 该 问题 : 


o 如 果 重 复 ACK 和 重 传 数量 较 少 ( 少 于 1 个 百分比 ) ， 是 可 以 接受 的 。 

o 如 果 重 复 ACK 发 生 在 无 线 网 络 环 境 ， 或 是 Internet 之 上 的 连接 ， 延 时 或 是 延 时 的 改变 
对 于 这 类 网 络 来 说 很 常见 ， 所 以 也 没有 什么 可 做 的 。 

o 如 果 发 生 在 组 织 内 的 网 络 ， 则 可 能 有 问题 。 如 果 发 生 在 LAN 之 上 上， 检查 严 重 的 问 
题 ， 例 如 缓存 和 CPU 负载 ， 慢 速 服务 器 ， 等 等 。 如 果 发 生 在 WAN 之 上 ， 查 看 延 时 ， 
负载 以 及 线路 不 稳定 


工作 原理 


当 发 现 有 丢失 报 文 时 (期 望 的 序列 号 没有 收 到 ) ， 或 者 收 到 了 预期 之 外 的 序列 号 。 这 种 情况 
下 ， 接 收 端 生成 一 个 ACK ， 上 声明 自己 希望 收 到 的 下 一 个 序列 号 。 接 收 方 持 续 生成 丢失 片段 的 
ACK 请 求 ， 直 到 实际 收 到 。 


在 发 送 方 ， ee ed (初始 ACK 和 两 个 重复 ACK) ， 就 会 假设 有 报 文 丢失 并 
重 传 该 报 文 ， 无 论 重 传 计时 器 是 否 过 期 。 再 次 发 送 的 报 文 称 为 快速 重 传 。 


重复 ACK 也 减少 了 发 往 网 络 的 吞吐 量 。 减 少 了 多 少 乔 吐 量 取 决 于 TCP 版 本 。 上 比较 早期 的 TCP 
版 本 中 出 现 了 重复 ACK， 发 送 方 将 吞吐 量 减少 为 之 前 的 一 半 。 在 多 个 DupACK 的 情况 下 ， 知 
吐 量 减 到 最 小 。 

下 图 显示 了 重复 ACK 和 重 传 的 典型 例子 ， 本 图 中 第 一 次 重复 ACK 将 吞吐 量 降低 至 大 约 40% ， 
之 后 重 传 将 乔 吐 量 减 至 最 小 。 


lr Wireshark IO Graphs: (Untitled) 
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A Axis 
Graph 0! Color : Line Tick interval: 1 sec 
Graph 2| | Color | tcp. analysis .retransmissior Style: Impulse | || Pixels per tick: 5 
4 13 = tcp.analysis.duplicate ack num Style: Impulse | | (J view as time of day 
| Color | Style: Line | | pY Axis 
eo -olor (Fitter: | Style: | Line 1 | | Unit: Packets/Tick 


Scale: Auto 
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SUP JR xc: 
在 两 端 抓 包 ， 乱 序 情 况 下 需要 关注 三 种 现象 : 


e 先前 片段 丢失 : 当前 收 到 报 文 的 友 列 号 高 于 该 连接 的 下 一 个 期 望 友 列 号 时 ， 表 明之 前 的 
一 个 或 多 个 报 文 未 能 到 

e 乱 序 报 文 : SAR P" 车 接 先 前 收 到 的 报 文 

e 先前 片段 未 能 捕捉 : (Wireshark 1.8.x 及 以 上 版 本 ) : 同 先 前 报 文 丢失 。 


何 时 发 生 ? 
用 户 可 能 在 以 下 情况 看 到 乱 序 报 文 : 


e 连接 开始 时 抓 包 : 当 建 立 连 接 时 抓 包 ， 这 时 ， 看 到 连接 上 的 报 文 没有 SYN/SYN- 
ACK/ACK， 因 此 ，Wireshark 认 为 连接 有 问题 。 


e 确实 有 报 文 丢失 : 这 时 会 看 到 丢失 报 文 重 传 和 /或 重复 ACK 告 知 发 送 方 重 传 丢失 报 文 。 





览 站 点 62.90.90.210。 这 一 过 程 


上 图 是 报 文 丢失 的 典型 示例 。 从 图 中 可 见 ，10.0.0.6 尝 试 浏 
P> TCPA REE41420 F RX 8| web/R j% > 334513362. I8] 34 4R SCA K > 33851340 T8] 


2 个 报 文 丢失 。 两 者 Wireshark 都 有 提示 : TCP's previous segment is not captured. 


e 廷 时 变化 : 这 可 能 是 由 于 报 文 从 源 地 址 到 目的 地 址 经 由 不 同 的 路 由 。 检 查 这 一 点 可 以 使 
用 Tracert， 在 源 和 目的 地 址 之 间 查 找 路 由 改变 。 如 果 在 公司 内 部 网 络 上 是 可 以 做 到 的 ， 


例如 ， 在 路 由 器 上 配置 trap。 
e 数据 捕捉 问题 : 可 能 报 文正 常 收 发 ， 但 Wireshark 没 有 捕捉 到 。 可 能 有 以 下 几 种 原因 : 
数据 量 比较 大 时 ，Wireshark 在 高 比特 率 的 情况 下 可 
Mbps) 。 要 避免 这 一 问题 ， 使 用 其 他 工具 (大 多 数 需要 付费 ) 。 
台式 机 不 够 强大 ， 内 存 或 CPU 无 法 让 Wireshark 工 作 的 足够 快 。 这 一 点 很 好 发 现 。 
当 LAN 交 换 机 的 端口 缓存 太 小 ， 报 文 可 能 被 丢弃 。 连 接 到 交换 机 (用 控制 台 或 telnet 


能 会 丢失 报 文 (高 于 150-180 


O ABA 


连接 ) 使 用 交换 机 命令 行 来 检查 该 问题 。 
无 线 网 络 抓 包 ， 由 于 东 种 原因 没有 看 到 所 有 发 送 报 文 。 


乱 友 报 文 的 原理 很 简单 。TCP 发 送 以 其 字 节 数 为 编号 的 报 文 到 接收 方 。 当 一 个 报 文 没有 按照 


FR 
顺序 到 达 时 ，Wireshark 就 会 注意 到 。 原 因 有 两 点 : 


e 确实 有 问题 : 这 时 会 看 到 重 传 和 重复 ACK， 这 是 TCP 对 于 收 到 乱 序 报 文 的 响应 。 
。 抓 包 问题 : 这 时 仅 看 到 乱 序 报 文 ， 但 没有 看 到 对 可 能 丢失 及 乱 序 报 文 的 响应 ， 可 能 实际 


上 并 没有 问题 。 
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介绍 
TCP 最 重要 的 机 制 之 一 是 消 动 窗口 机 制 ， 以 及 用 以 控制 TCP 终 端 节 点 愿意 接收 的 数据 总 量 的 


流 控 机 制 B 


TCP reset 可 以 在 几 种 情况 下 被 发 送 。 有 一 些 是 协议 的 正 第 工作 过 程 ， 有 一 些 则 表明 可 能 有 问 
题 。 本 节 中 ， 我 们 查找 问题 以 及 分 析 解 决 问题 的 方法 。 


本 草 讨 论 以 上 两 个 问题 。 


更 多 信息 


TCP 窗 口 问题 : 
TCP 堆 窗口 ， 零 窗口 探测 ， 零 窗口 违例 


TCP 零 窗口 发 生 于 接收 方 在 TCP 头 部 pe 播 接 收 窗 口 零 字 节 的 时 候 。 这 一 事件 告 
知 发 送 方 停止 发 送 数据 ， 因 为 接收 方 缓存 已 满 。 这 也 表明 接收 方 可 能 发 生 以 下 问题 : 


e 服务 器 无 法 为 进程 分 配 组 后 的 内 存 

e 应 用 碰 到 没有 足够 内 存 的 问题 ， 因 此 TCP 需 告知 发 送 方 停止 发 送 数 据 

e 应 用 消耗 太 多 内 存 因 此 操作 系统 要 限制 应 用 资源 

TCP 
3 


窗口 探测 由 发 送 方 发 出 ， 以 查看 接收 方 的 零 窗 口 是 否 依然 存在 。 这 一 消息 通过 发 送 下 
一 字 节 类 


数据 给 接收 方 ， 如 果 接 收 方 回复 袖口 大 小 仍然 为 者 ， 则 发 送 Se $ o 


TCP 4 ORA : 发 送 方 忽略 接收 方 的 零食 口 大 小 并 发 送 额 外 字 节 数据 。TCP 零 禄 口 违 例 表 明 
协议 栈 中 有 TCP 错 误 。 为 了 检查 是 何 问 题 ， 检 查 是 否 有 以 下 事件 : 


e 某 一 终端 设备 (服务 器 或 客户 机 ) 报 出 终端 设备 故障 

e 东 一 应 用 报 出 第 规 应 用 错误 

e 应 用 中 执行 革 一 操作 时 报错 ， 例 如 ， 打 开 一 个 表格 ， 发 送 一 份 文件 至 打印 机 ， 创 建 一 个 
报告 ， 或 其 他 操作 。 这 种 情况 下 ， 有 是 应 用 问题 。 


TCP @ u x f 


TO 
ERE (缓存 大 小 决定 了 发 送 方 被 允许 的 发 送 速 举 ) 。 这 一 情况 发 生 于 : 
e TCP 接 收 方 从 零 窗口 中 恢复 ， 告 知 发 送 方 重新 发 送 速 府 。 这 一 情况 下 ， 无 需 进 行 处 理 ， 
只 需 检 查 第 一 次 导致 零 窗 口 的 问题 。 
e TCP 接 收 方 频繁 更 改 禄 口 大 小 。 该 情况 下 检查 接收 方 被 干扰 的 原因 。 可 能 是 应 用 问题 ， 
内 存 问 题 ， 或 终端 设备 上 的 其 他 问题 。 
看 到 这 类 现象 无 需 担 心 ， 这 就 是 TCP 的 工作 机 制 。 
TCP 窗 口 已 满 


这 一 信息 表明 已 发 送 的 报 文 会 完全 卉 ;、 raa dau 发 生 于 接收 方 没有 对 先前 接收 到 
的 数据 发 出 任何 ACK 确 认 信 息 ， 因 此 会 成 为 发 送 方 从 接收 方 收 到 ACK 之 前 的 最 后 一 个 
报 文 数据 。 


这 一 事件 的 触发 原因 与 触发 零 究 口 的 原因 相同 ， 是 服务 器 或 应 用 无 响应 的 标志 。 典 型 实例 如 
下 图 所 示 : 





上 图 中 可 以 看 到 : 


1， 报 文 183816，192.168.2.138 告 知 192.168.1.58 发 送 窗 口 已 满 。 

2， 下 一 个 报 文 ，192.168.1.58 发 送 一 个 信号 至 192.168.2.138， 告 知 对 方 俘 止 发 送 数 据 。 这 
zx — ^R odd o 

3， 双 方 继续 发 送 零 窗口 以 及 零 窗 口 探测 。 

4. A 168.2.138 发 送 的 RST 报 文 ， 目 的 是 断 开 连接 。 

5， 某 些 情况 下 零 窗口 可 以 通过 窗口 更 改 信 息 来 回复 。 某 些 情 况 下 可 通过 reset 来 关闭 (可 以 
是 应 用 零 窗 口 从 而 没有 收 到 任何 数据 导致 ) 。 


工作 原理 
TCP 滑 动 窗口 机 制 如 下 : 


连接 建立 之 后 ， 发 送 方 将 数据 发 送 至 接收 方 ， 填 入 接收 窗口 。 
若干 报 文 之 后 ， 接 收 方 发 送 ACK 至 发 送 方 ， 确 认 接 收 到 其 发 送 的 字 节 数 。 发 送 ACK 将 接 


mE 
3. 过 程 持续 下 去 ， 发 送 方向 窗口 中 填 入 数据 ， 接 收 方 清空 并 发 送 确认 信息 。 
ee 口 告知 对 方 减 小 吞吐 量 。 这 一 机 制 按 
照 WS/RTT 规 则 ( 随 着 TCP 版 本 不 同 而 有 所 改变 ) 





也 可 以 通过 TCP 知 吐 量 图 表 和 |O 〇 图 来 查看 问题 。 在 TCP 乔 吐 量 图 表 中 ， 使 用 TCP tracelll & » 
上 显示 了 窗口 大 小 ， 与 下 面 一 行 的 距离 表明 窗口 的 剩余 大 小 。 没 有 距离 表示 零 窗 口 。 


Free Receiver Window 
Size.Thisisthe place 
left in the receiver 
window. Here it equals 


6AKBytes. 





bati a a 当 两 行 渐渐 靠近 ， 表 明 发 送 方 速度 高 于 接收 方 。 
这 两 行 没有 重 辣 ，TCP 就 会 继续 发 送 数据 。 


TCP reset 及 原因 : 


网 络 基本 功 (LX) : Wireshark 抓 包 实 例 分 析 TCP 窗 口 及 reset 130 


网 络 基 本 功 系列 


在 可 铬 的 链 路 或 服务 器 两 端 连接 Wireshark， 开 始 抓 包 。 观 稍 抓 包 
TCP reset 可 以 在 几 种 情况 下 被 发 送 。 有 一 些 是 协议 的 正常 工作 过 程 ， uti b CMM 
题 。 本 节 中 ， 我 们 查找 问题 以 及 分 析 解 决 问题 的 方法 。 


reset Jf] (in A ， 通 过 将 RST 标 志 位 置 1 来 发 送 。 正 第 的 操作 过 
中 ，TCP 通 过 SYN 信 号 打开 连接 ， 通 过 FIN 信 号 关闭 连接 。 "e 一 大 特性 在 于 有 问题 时 ， " 


只 是 为 了 更 好 的 性 能 ， 它 能 够 快 ; Mus 车 接 。 
无 故障 时 发 送 reset 


TCP 关 闭 连 接 的 标准 方式 是 通过 FIN 和 FIN-ACK 信 号 。 为 了 关闭 连接 ， 用 户 需 要 四 个 报 文 : 来 
目 一 方 的 FINM/ACK 和 ACK， 以 及 另 一 方 的 同样 报 文 。 当 你 打开 一 个 网 页 ， 可 能 同时 打开 了 数 
十 个 连接 〈 主 页 ， 新 闻 ， 广 告 ， 定 期 更 新 的 图 片 等 ) ， 要 关闭 所 有 这 些 有 时 需要 数 百 个 FIN 和 
FIN-ACK 报 文 。 为 了 防止 其 发 生 ，Web 服 务 器 在 很 多 情况 下 会 在 发 送 请 求 数据 之 后 用 reset 断 
开 连 接 。 这 是 标准 的 做 法 ， 并 取决 于 应 用 程序 。 


有 故障 时 发 送 reset 
某 些 情况 下 reset 表 明 有 故障 发 生 (并 不 一 定 是 通信 故障 ) 


e 防火 墙 发 送 的 reset : 当 远 端 服务 器 尝试 打开 连接 但 wie 吉 果 时 ， 也 许 会 看 到 返回 RST 信 
号 。 这 是 防火 墙 阻隔 连接 的 情况 。 下 图 中 ， 可 看 到 发 送 的 每 一 个 SYN 都 返回 以 RST。 





e 由 于 收发 一 方 有 问题 发 送 的 reset : 可 能 的 原因 如 : 
o 五 个 连续 没有 收 到 ACK 回 复 的 重 传 。 当 发 送 方 没有 收 到 任何 重 传 回复 ， 它 就 会 发 送 
一 个 reset 信 号 到 对 端 ， 告 知 其 断 开 连接 。 
o 男 一 个 原因 是 连接 之 上 几 分 钟 都 没有 任何 数据 (分 钟 数 取决 于 系统 默认 ) 。 打 开 连 
接 的 一 方 通常 会 发 送 reset (但 并 不 总 是 会 这 样 做 ， 取 决 于 实现 方式 ) 。 


i 
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HTTP 的 问题 可 能 是 由 于 慢 速 服务 器 或 客户 端 ，TCP 性 能 问题 ， 本 文 讨 论 上 述 问题 以 及 其 他 可 


浏览 网 页 性 能 变 差 的 原因 有 很 多 ， 需 要 逐步 分 析 。 步 又 如 下 : 


首先， 不 仅 要 确认 网 络 负载 状况 ， 还 要 注意 通信 链 路 上 的 出 错 蔡 ， 以 及 导致 性 能 变 兰 的 
最 明显 的 表现 ; 
2. 人 诊断 TCP 问 题 ， 检 查 以 下 细节 : 


o 在 Expert info 窗 口 ， 确 保 没有 大 多重 传 以 及 重复 ACK ( 百 分 之 0.5 至 0.8 尚 可 忍受 ) 。 
o 确保 HTTP 连 接 上 没有 reset， 可 能 由 于 防火 墙 或 站 点 限制 引发 。 
3. 确保 没有 以 下 DNS 问题 : 
o 慢 速 响应 时 间 
o 域名 未 找到 
如 果 以 上 均 不 适用 ， 就 需要 对 HTTP 深 入 研究 。 


注意 : 将 网 络 和 IT 环境 看 作 一 个 整体 。 对 于 慢 速 网 络 浏览 应 用 ，TCP 问 题 亦 不 能 分 离 于 
HTTP，DNS 问 题 。 可 能 是 由 于 慢 速 HTTP 服 务 器 ， 因 服务 器 的 慢 速 响应 而 产生 了 TCP 重 传 。 
或 者 ， 由 于 DNS 慢 速 服务 器 ， 打 开 网 页 可 能 需要 好 几 秒 钟 。 一 步 步 定 位 问题 就 好 了 。 


当 你 第 一 次 打开 一 个 网 页 ， 可 能 需要 几 秒 钟 。 在 这 种 情况 下 ， 应 当 查 看 以 下 情况 : 


1. 检查 线路 是 否 过 载 

2， 检 查 线路 延 时 (通过 ping 工 具 ) 

3. 查看 错误 代码 ， 通 第 能 看 到 浏览 器 报错 原因 ， 但 并 不 总 是 能 看 到 。 

4. 配置 过 滤器 http.response >= 400 并 查看 有 多少 错误 。 以 下 章节 ， 你 会 看 到 需要 注意 的 示 


“all o 


Informational codes : 


Code|Status Explanation to do 


100 |Continue Request completed successfully and the session can continue. 3 一 


101 |Switching The server is changing to a different HTTP version. It will be 


pratocols followed by an Upgrade header. 





Success codes : 


Code|Status Explanation to do 


200 |OK Standard OK response. - 





Created Ihe request has been fulfilled and a new resource has 


been created. 


Ihe request was accepted and is still in process. 


ü ü 
m a 
203 |Non-authoritative |The request was received with content from another 

information server, and it was understood. 
ü Bü 
7 Bü 
pe za 


No content Ihe request was received and understood, and the 


answer that is sent back has no content. 


Reset content Ihis is a server request to the client to reset the 


data that was sent to 1t. 


Partial content Response for a partial document request. 


Redirect codes : 
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Code|Status Explanation What to do 


The requested address refers to more than one 
File. It can happen, for example, when the 
resource has been removed, and the response 
provides a list of potential locations for it. 


Ihe requested resource has been moved 





permanently|permanently. Future requests should be 





forwarded to the attached URI. 


302 Page has been moved temporarily, and the new Usually, vou will 


temporarily|UKL is available. Usually, you will be see a Found code, 






automatically forwarded. and then another GET 


(found) to the URL indicated 


303 |See other |The response to the request can be found in a 


different URI. It should be retrieved using an 


HTTP GET to that resource. m 


304 |Not When a request header includes an if modified 


modified since parameter, this code will be returned if 


the file has not changed since that date. 





305 |Use prozy |The requested resource must be accessed through |Check what prozy is 


A 
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KRET. 


更 多 信息 


Client errors: 


Code 


400 


401 


402 


403 


404 


405 


Status 


Bad request 


Authorization 
required 


Payment 


required 


Forbidden 


Not found 


Method not 
allowed 


Explanation 


The request could not be 
understood by the server due 
to a syntax problem. The 
request should be modified by 
the client before resending to 
it. 


The client is denied access 
due to the lack of 
authentication codes. 


Reserved for future use. 


The client is not allowed to 
see a specific file. This can be 
due to the server access limit. 


The requested resource could 
not be found. 


The method you are using to 
access the file is not 
supported or not allowed by 
the resource. 


Content generated by the 


What to do 


Check the website 
address. This can also 
happen due to a site error. 


Check your username and 
password. 


Check the credentials. 
Also, there are fewer 
chances that the server is 
loaded. 


This can be because the 
resource was deleted, or it 
never existed before. It 
can also be due to URL 
misspellings. 


406 


407 


408 


409 


410 


411 


412 


413 


414 


415 


以 下 示例 是 一 个 简单 的 客户 端 报错 。 按 照 以 下 步骤 进行 操作 : 


acceptable 


Proxy 
authentication 
required 


Request 
timed out 


Conflict 


Gone 


Content 
length 
required 


Precondition 
failed 


Request 
entity too long 


Request URI 
too long 


Unsupported 
media type 


1. 右键 有 报错 的 报 文 。 
2， 选 择 Follow TCP stream ， 会 看 到 以 下 窗口 : 


according to the client 
request. 


Request authentication is 
required before it can be 
performed. 


It took the server longer than 
the allowed time to process 
the request. 


The request submitted by the 
client cannot be completed 
because it conflicts with some 
established rules. 


The URL requested by the 
client is no longer available 
from that system. 


The request is missing 
itsContent-Length header. 


The client has not set up a 
configuration that is required 
for the file to be delivered. 


The requested file was too big 
to process. 


The address you entered was 
overly long for the server. 


The file type of the request is 
not supported. 


browser. 


The client must first 
authenticate itself with the 


proxy. 


Check response time and 
load on the network. 


Can be because you try to 
upload a file that is older 
that the existing one or 
similar problems. Check 
what the client is trying to 
do. 


Usually this is a server 
problem. It can be due to a 
file that was deleted or 
location was forwarded to 
a new location. 


Compatibility issue on a 
website. Change/update 
your browser. 


Compatibility issue on a 
website. Change/update 
your browser. 


Server limitation. 


Server limitation. 


Server limitation. 


dd pong TS htm HTTP/1.1 a 
: | jpeg, image/pjpeg, 1mage/pjpeg, es shockwave-flash, tl li 


Accept- encoding: pos deflate 
User-Agent: Mozil 


a/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.1; Mozilla/4.0 
(compatible; MSIE 6.0; windows NT 5.1; 5V1) ; .NET CLR 1.1. 4322; .NET CLR 2.0. 50727; 

= la aa 1.3; officeLivePatch. 0. Q0; .MET CLR 3.0.4506. 2152; .NET CLR 3.5. 30729: 
InfoPath 

Host: |www.888poker.com | 


HTTP/1.1 404 Not Fauna 
Date: Sun, 15 C 
Server: Microsoft- -TI5/6. 0 


1:11:58 GMT 


srv: 2344432 


3， 显 示 以 下 内 容 : 





o 客户 端 尝试 浏览 URI/poker-client/broadcast.htm (如 截屏 中 1 和 3 所 示 ) 
o URI 通 过 http://www.888poker.com/poker-client/promotions.htm 转 发 (截屏 中 2 所 


示 ) 


o 状态 码 为 404 Not Found (如 截屏 中 4 所 示 ) 


Client errors: 


Code Status Explanation What to do 
The web server encountered an Response that is 
unexpected condition that usually caused by a 
Internal 
500 prevented it from carrying out the problem in your Perl 
server error l 
client request for access to the code when a CGI 
requested URL. program is run. 
501 Not The request cannot be executed by A server problem. 
implemented the server. 
502 Bad The server you're trying to reach is A server problem. 
gateway sending back errors. 
503 service The service or file that is being A server problem. 
unavailable requested is not currently available. 
The gateway has timed out. This 
Gateway message is like the 408 timeout Server is down or 
504 l , . 
timeout error, but this one occurs at the nonresponsive. 
gateway of the server. 
HTTP The HTTP protocol version that you Server does not 
505 version not want to use for communicating with support the HTTP 
supported the server is not supported by it. version. 
服务 器 不 可 用 (错误 代码 503) 可 能 有 多 种 原因 。 以 下 示例 是 一 个 小 办 公 室 碰 到 的 问题 : 员工 


2,94 14 lel Facebook > 12 23 464] A 


页 面 被 防火 墙 拦 截 : 


击 站 点 上 的 链接 ， 则 显示 页 面 被 拦截 。 以 下 截屏 中 ， 可 看 出 


HTTP/1.1 503 Service Unavailable 


connection. CIOSEXTP VU 
Content-Type: text/html\r\n 
» Content-Length: 556\r\n 
Arn 
Line-based text data: text/html 
«HTML»«HEAD»«TITLE»web Site Blocked</TITLE>\r\n 
«/HEAD» rn 
<BODY text=#ffffff bgcolor=#000000>\r\n 
«P «BR» «BR» «BR»«/Psrn 
«TABLE heightzl width=100% bgcolor=ff0000 border=0>\r\n 
<TR>\r\n 
«TD»&nbsp: </TO></TR></TABLE>\r\\n 
<P><BR></P>\r\\n | 
«P align=center><FONT size=5 web Site Blocked by NETGEAR Fi rewall</FONT></P>\r\n 
dPseAR (PS FY A 


工作 原理 : 





标准 的 HTTP 浏 览 模式 如 下 


1. TCP 打 开 连 接 (三 路 握手 信号 ) 
2. HTTPXiXGET A 
3. 数据 下 载 到 浏览 器 


在 一 个 网 页 打开 多 个 连接 的 情况 下 (大 多 数 网 页 都 是 如 此 ) 。 每 个 连接 需要 一 个 DNS 查询 ， 
响应 ，TCP SYN-SYN/ACK-ACK， 以 及 HTTP GET。 之 后 数据 才 会 出 现在 显示 屏 上 。 


当 你 在 packet detail 面 板 没 有 看 到 显示 内 容 时 ， 右 键 报 文 并 选择 Follow TCP stream， 会 看 到 
连接 的 细节 数据 。 田 一 个 广泛 应 用 的 工具 是 Fiddler，Fiddler 是 HTTP 故 障 排查 的 免费 工具 。 


参考 
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通常 来 说 ， 数 据 库 ， 应 用 和 网 络 在 IT 架构 中 处 于 不 同 的 分 支 。 数 据 库 的 故障 排查 由 DBA 来 完 
成 ， 但 是 网 络 工程 师 仍 可 以 从 抓 包 dieit diia AM 2 o SITAR hl 3 TRU > SE ERES 
一 定 是 这 样 。 下 文 帮助 我 们 验证 所 谓 “ 网 速 慢 "的 问题 。 


更 多 信息 
工作 过 程 
对 于 数据 库 问 题 ， 按 照 以 下 步骤 : 
1， 当 怀疑 是 “ 慢 速 网 络 响 应 ”时 ， 问 以 下 问题 : 


o 问题 发 生 于 本 地 还 是 全 局 ? 是 只 发 生 在 远 端 办 公 室 ， 还 是 center 也 有 发 生 ? 如 果 整 个 
网 络 都 出 现 问 题 ， 就 不 会 是 WAN 带 完 问 题 。 
o 对 于 所 有 客户 端 是 否 都 发 生 了 这 样 的 问题 ?如 果 只 是 某 些 特定 用 户 碰 到 问题 ， 则 可 
能 是 这 些 用 户 运 行 了 茶 些 应 用 导致 。 
o 客户 端 和 服务 器 之 间 通 讯 链 路 是 否 过 载 ? 导 piri din 
o dde xk 支行 缓慢 ， 还 是 使 用 特定 数据 库 的 应 用 运行 缓慢 ? 是 PC 比较 老 昌 ， 还 


1. 打开 Wireshark 开 始 抓 包 。 可 以 将 对 端 端口 连 到 PC， 服 务 器 ，VLAN， 或 连接 远 端 客户 
端的 路 由 器 。 


2. 在 expert info 中 查看 TCP 事 件 。 这 些 事件 发 生 在 整个 通信 链 路 ， 或 是 特定 的 |P 地 址 ， 还 
是 特定 的 TCP 端 口 ?此 操作 能 够 帮助 定位 问题 并 验证 是 否 发 生 于 特定 链 路 ， 服 务 器 ， 或 
是 应 用 。 测 试 连接 到 |nternet 的 数据 流 时 ， 可 能 会 得 到 发 往 站 点 或 mail server (诸如 此 
A) 的 很 多 重 传 以 及 重复 ACK。 在 组 织 内 部 ， 重 传 范围 应 当 在 百 分 之 0.1 至 0.5。 连 接 到 


Internetit > TARAZ o 


PPR ik dex > WA Xu eg 


3， 当 你 看 到 网 络 上 有 问题 时 ， 按 照 前 几 张 的 故障 排查 步骤 给 
服务 器 通信 链 路 往返 延 时 达到 35 至 


题 会 影响 数据 库 操 作 。 下 例 中 ， 可 看 到 客户 端 与 
40ms ° 


1. 我 们 查看 TCP stream 8 (1) ， 连 接 开 始 于 TCP SYN/SYN-ACK/ACK ° 49 FA (2) 所 
示 。 可 以 看 到 整个 连接 花费 了 371 个 报 文 (3) 。 


|" | Exprestion.. Car ^oc, Save NENS NBDS NESS 
Danang Protocol — Info 
i I 3 l2. i I: A rie i m Ts "m 4 Ti E » Im z^ cum Fe c ee | ee || ais E A) = 


0.013496 192. .20.88 192.168.10.80 TCP vfo > wv-csp-udp-cir [ACK] Seq=1 A: 
0.015710 ?.168.20.88 192.168.10.80 TCP  vfo > wv-csp-udp-cir [PSH, ACK] Se: 
0.044857 .168.10.80 192.168.20.88  TCP  wv-csp-udp-cir » vfo [PSH, ACK] Sei 
0.045057 .168.20.88 192.168.10.80 TCP vfo > wv-csp-udp-cir [PSH, ACK] Se: 
0. 075752 192.168.10.80 192. 168. 20. 88 TCP wv-csp-udp-cir > vfo [PSH, ACK] Sei. 


: Frame 1930: 87 bytes on wire (696 bits), 87 bytes captured (696 bits) 

-Ethernet II, Src: Hewlett- 3e:54:e7 (00:0b:cd:3e:54:e7), Dst: Cisco 4f:4a:ec (00:60:47:4f:: 
«Internet Protocol Version 4, Src: 192.168.20.88 (192.168.20.88), Dst: 192.168.10.80 (192.1t 
«Transmission Control Protocol, Src Port: vfo (1056), Dst Port: wv-csp-udp-cir (3717), Seq: 
sData (33 bytes) | 


a 


@ * File: "CACourses Upstream Systems\PCAP Files\Example 0... [Packets 6494 Displayed: 371 Marked: O Load time (000307 Profile Wireless 





2. 连接 继续 ， 可 见 到 DB 请 求 与 响应 之 间 时 间 间 隔 大 约 35ms 。 


Tire i i Protocol Info 

35.8333097 182 168.20.88 192.168.10.80 ^ vfo > wv-csp-udp-cir [PSH, 
35.869385 168.10.80 192.168.20.88 '"  wv-csp-udp-cir > vfo [PSH, 
32 posesa | at 168.20.88 192.168.10.80 | vfo > wv-csp-udp-cir [PSH, 
35.905654 .168,10.80 192.168.20.88 c wv-csp-udp-cir > vfo [PSH, 
leppel] PEPPE 192.168.10.80 >  vfo > wv-csp-udp-cir [PSH, 
35.944428 .168.10.80 192.168.20.88 CP  wv-csp-udp-cir > vfo [PSH, 
35. 953804 192.168.20.88 192.168.10.80 vfo > wv-csp-udp-cir [PSH ， 





3. 由 于 往返 已 经 有 371 个 报 文 ，371X35 ms X £L 1349 » Ze ET SER EE EAE GRE 
时 ， 用 户 查询 一 次 数据 库 可 能 要 等 待 10 至 15 秒 。 


4. 这 种 情况 下 ， 应 当 与 DBA 讨 论 怎样 大 幅 减 少 网 络 上 传输 的 报 文 数量 ， 或 是 改变 终端 服 
务 器 或 网 络 接 入 的 方式 。 


男 一 个 可 能 发 生 的 问题 是 抓 包 文件 反映 出 有 软件 问题 。 以 下 截图 中 可 看 到 5 个 重 传 

(1) ， 并 且 客 户 端 打开 了 一 个 新 的 连接 (3) 。 看 起 来 像 一 个 TCP 问 题 但 只 发 生 在 软件 
中 一 个 特定 窗口 。 这 只 是 由 于 一 个 软件 进程 停止 运行 ， 因 此 TCP 无 法 对 客户 端 作出 响应 
( 





L \ Lr LF 
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右键 数据 库 客户 端 与 服务 器 会 话 报 文 ， 会 打开 一 个 窗口 ， 有 助 于 DBA 查 看 网 络 问题 。 当 碰 到 
廷 时 问题 时 ， 例 如 ， 通 过 移动 电话 接 入 |Internet， 数 据 库 容 户 端 到 服务 器 的 通讯 可 能 效率 低 
下 。 可 能 需要 切换 接 入 方式 。 


很 重要 的 一 点 是 搞 清 楚 数 据 库 的 工作 模式 。 如 果 客 户 端 正在 接 入 数据 库 服 务 器 ， 数 据 库 服务 
器 正在 使 用 从 另 一 台 服 务 器 共享 的 文件 ， 可 能 客户 端 服务 器 工作 良好 ， 但 问题 可 能 出 在 
数据 库 服务 器 与 文件 服务 器 之 间 共 享 文件 上 上。 确保 在 开始 测试 之 前 确 知 所 有 依赖 条 件 。 
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Network Analysis Using Wireshark Cookbook 


网 络 基 本 功 (三 十 ) : 细 说 DNS (上 ) 
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因特网 上 作为 域名 和 IP 地 址 相互 映射 的 一 个 分 布 式 数据 库 ， 能 够 使 用 户 更 方便 的 访问 互联 
网 ， 而 不 用 去 记 住 能 够 被 机 器 和 直接 读 取 的 IP 数 串 。 通 过 主机 名 ， 最 终 得 到 该 主机 名 对 应 的 IP 地 
址 的 过 程 叫 做 域名 解析 (或 主机 名 解析 ) 。 


更 多 信息 


DNS 基础 : 


DNS 命 名 空间 是 一 个 分 层 结 构 ， 类 似 于 Unix 文 件 系 统 。 如 下 图 的 分 层 空间 所 示 。 


unnamed root ——m- 










| 
| 
top level : 
domains m mit .| us (ee 
! | 
second level| (^7 a i eid Zimbabwe 
domains | X. và 
se, 


Sun 
SET. V sur.tucnoao edu. cnrireston.va.us. — (enr 


ric domains j country domains 
| 


(33) “— 33.13.252.140.in-addrarpa. 


每 个 节点 都 有 一 个 标签 ， 了 最 多 可 以 有 63 个 字符 。 树 结构 的 根部 是 一 个 特殊 的 标签 为 null 的 节 
点 。 树 结构 中 节点 的 域名 就 是 一 串 标 签 列 表 ， 从 该 节点 开始 ， 一 直到 根 节点 ， 通 过 dot 来 将 标 
签 分 开 。 (这 是 与 Unix 文 件 系 统 不 同 的 地 方 ， 将 路 径 名 放 在 最 前 沿 着 树 结构 下 来 )。 树 结构 
中 的 每 一 个 节点 必须 有 一 个 唯一 的 域名 ， 但 是 树 结 构 中 不 同 的 point 可 以 有 相同 的 标签 


域名 分 为 绝对 域名 与 相对 域名 。 绝 对 域名 也 称 为 完全 合格 的 域名 FQDN(Full Qualified Domain 
Name)， 它 是 以 “” 结 尾 的 域名 ， 例 如 sun.tuc.noao.edu.。 如 果 不 以 ”结尾 ， 则 假设 该 域名 需要 
被 补充 完整 。 域 名 如 何 补充 则 取决 于 使 用 的 DNS 软件 。 


顶级 域名 分 为 三 个 区 域 : 


1. arpa 是 用 来 做 反 向 域名 解析 的 特殊 域 。 
2. 七 个 3 字母 域名 称 为 普通 域名 ， 也 有 称 为 组 织 域 。 
3， 所 有 两 个 字母 域名 是 基于 ISO 3166 国 家 代码 ， 称 为 国家 域名 或 地 理 域名 。 


上 图 中 没有 显示 的 很 重要 的 一 点 是 DNS 中 责任 的 分 派 。 没 有 一 个 单一 的 实体 来 管理 树 中 的 每 
一 个 标签 。 相 反 ， 一 个 实体 (网卡 ) 维持 树 中 的 一 部 分 (顶级 域名 ) 并 将 其 他 责任 分 配给 
Zone 中 其 他 实体 。 


Zone 指 DNS 树 中 分 开 管 理 的 子 树 。 例 如 ， 二 级 域名 就 是 一 个 常见 的 Zone ，noao.edu。 很 多 二 
级 域名 又 分 为 更 小 的 zone。 例 如 ， 一 所 大 学 按照 系 别 ， 公 司 按照 部 门 分 为 分 为 更 小 的 zone。 


A IUnix x fF A Z8] 2: ix x31 DNST zone IX 4K 45.37 S:Unix3c RATA 42 38 BR 3 2) X 。 
如 同 我 们 从 上 图 中 无 法 看 出 zone 的 委托 授权 管理 位 于 何 处 ， 从 Unix 文 件 系 统 的 类 似 图 中 也 难 
以 看 出 哪个 目录 在 哪个 磁盘 分 区 上 。 


一 旦 Zone 的 委托 授权 分 派 好 ，Zone 的 负责 人 需要 为 其 提供 多 个 域名 服务 器 。 当 zone 中 安装 了 
新 的 机 器 ，zone 的 DNS 管理 员 为 其 分 配 域名 与 I|P 地 址 ， 并 将 信息 输入 域名 服务 器 的 数据 库 

中 。 域 名 服务 器 委托 授权 管理 一 个 或 多 个 zone。zone 管 理 人 员 必 须 为 其 提供 一 台 主 域名 服务 
器 以 及 一 个 或 乡 个 二 级 域名 服务 器 。 主 服务 器 和 二 级 服务 器 必须 相互 独立 并 宛 余 ， 以 使 zone 
不 会 受到 单 点 故障 的 影响 。 主 服务 器 和 二 级 服务 器 的 区 别 在 于 ， 主 服务 器 从 磁盘 文件 加 载 
zone 的 所 有 信息 ， 而 二 级 服务 器 从 主 服务 器 获取 所 有 信息 。 这 一 过 程 称 为 zone transfer。 


当 新 的 机 器 添加 到 zone 中 ， 管 理 员 将 合适 的 信息 (至 少 需要 名 称 和 IP 地 址 ) 添加 到 主 服务 器 
系统 的 磁盘 文件 中 。 之 后 告知 主 域名 服务 器 重新 读 取 自 己 的 配置 文件 。 二 级 服务 器 定期 查询 
(通常 3 小 时 一 次 ) ， 如 果 主 服务 器 有 新 的 数据 ， 二 级 服务 器 通过 zone transfer 来 获取 。 


当 域 名 服务 器 没有 所 需 信 息 时 怎么 办 呢 ? 它 必 须 联系 另外 一 台 域 名 服务 器 。 这 是 DNS 的 分 布 
式 特性 。 并 不 是 每 一 人 台 服 务 器 都 知道 如 何 联系 其 他 域名 服务 器 ， 但 每 一 台 服 务 器 都 知道 如 何 
联系 根 域名 服务 器 。 根 服务 器 的 IP 地 址 存放 于 主 服务 器 的 配置 文件 中 。 主 服务 器 必须 知道 根 
服务 器 的 IP 地 址 ， 而 非 DNS 名 。 之 后 ， 主 服务 器 获知 所 有 二 级 域名 服务 器 的 名 称 和 位 置 (Bp 
IP 地 址 ) 。 整 个 交互 过 程 是 : 发 起 请 求 的 域名 服务 器 必须 联系 根 服务 器 ， 根 服务 器 告知 请 求 
服务 器 联系 另外 一 台 服 务 器 ， 这 样 逐 级 进行 。 


DNS 的 一 个 基本 属性 是 缓存 。 即 ， 当 一 个 域名 服务 器 收 到 一 条 映射 信息 (如 一 个 主机 名 的 IP 
地 址 ) ， 它 会 将 该 信息 放 入 缓存 ， 以 使 之 后 的 查询 可 以 使 用 缓存 后 的 结果 ， 而 无 需 额 外 发 起 
对 其 他 服务 器 的 查询 。 


网 络 基本 功 (三 十 一 ) : 497% DHCP 
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动态 主机 设置 协议 《Dynamic Host Configuration Protocol, DHCP) 是 一 个 局 域 网 的 网 络 协 
议 ， 使 用 UDP 协议 工作 ， 主 要 有 两 个 用 途 : 


e 给 内 部 网 络 或 网 络 服务 供应 商 自 动 分 配 IP 地 址 给 用 户 
e 给 内 部 网 络 管理 员 作为 对 所 有 电脑 作 中 央 管 理 的 手段 


本 文 介绍 DHCP 的 工作 原理 。 


更 多 信息 


DHCP 工 作 原 理 : 


DHCP 从 一 个 IP 地 址 池 中 提供 IP 地 址 ， 该 池 有 DHCP 服 务 器 数据 库 定 义 ， 称 为 Scope。 如 果 客 
户 端 接受 这 一 地 址 ， 则 它 可 在 一 个 预定 义 的 期 限 内 使 用 该 地 址 ， 称 为 租约 。 如 果 客 户 端 无 法 
从 DHCP 服 务 器 获取 IP 地 址 ， 它 就 无 法 正常 初始 化 TCP/IP。 


在 DHCP 为 客户 端 配置 TCP/IP 参 数 时 ，DHCP 服 务 器 和 客户 端 都 需要 经 历 四 步 过 程 。 注 意 到 很 
多 通讯 是 通过 广播 的 方式 来 完成 的 。 如 果 路 由 器 无 法 转发 这 些 DHCP 消 息 时 ， 广 播 通 信 可 能 会 


造成 问题 。 
1. DHCPDiscover ! 


IP Lease Hequest 


: X DHCOCPOffer 


IP Lease Offer 





DHCP 


Client — g DHCPRequest » Server 
Computer 


IP Lease Selection 


DHCP 


4. « DHCPAck 


IP Lease 
Acknowledgment 


当 客 户 端 处 于 以 下 四 种 状态 之 一 时 ， 必 须 使 用 IP 租约 进程 


e 置 使 用 DHCP 的 客户 端 第 一 次 初始 化 TCP/IP ; 

e 和 客户 端 请 求 特定 的 IP 地址 但 服务 器 拒绝 了 该 地 址 ， 在 DHCP 丢 弃 租 约 时 即 会 发 生 。 

e 客户 端 之 前 租约 了 一 个 IP 地 址 ， 但 之 后 释放 了 该 IP 地 址 ， 现 申请 一 个 新 的 租约 。 这 种 情况 
发 生 于 用 户 输入 ipconfig /release 和 ipconfig /renew 命 令 时 。 


Z P puti RIP (DHCPDISCOVER) : 


当 一 个 IPv4 客 户 机 启动 时 监测 到 需要 IP 地 址 ， 它 会 初始 化 一 个 TCP/JIP 的 限制 版 本 ， 之 后 广播 

一 个 报 文 请 求 寻找 DHCP 服 务 器 的 地 址 。 该 广播 报 文告 知 监听 服务 器 客户 端 需要 IP 地 址 信息 

DHCP 和 客户 端 发 送 的 报 文 这 一 阶段 包括 租约 请 求 ， 客 户 端 源 地 址 ，0.0.0.0， 目 的 地 址 ， "7d 

pensa 255.255.255。 报 文 也 包括 客户 端 硬件 MAC 地 址 和 机 器 名 ， 该 信息 也 指明 了 向 DHCP 
务 器 发 起 请 求 的 设备 。 


客户 端 向 DHCP 服 务 器 发 送 请 求 IP 地 址 的 丨 实 报 文 称 为 DHCPDISCOVER 报 文 。 网 络 上 每 一 台 
安装 了 TCP/IP 协 议 的 主机 都 会 接收 到 这 种 广播 信息 ， 但 只 有 DHCP 服 务 器 才 会 做 出 响应 。 


服务 器 提供 IP 地 址 (DHCPOFFER) : 


所 有 拥有 有 效 IP 地 址 的 DHCP 服 务 器 都 会 向 DHCP 客 户 端 提供 IP 地 址 信息 。 它 响应 以 地 址 池 中 
一 个 未 分 配 的 IP 地 址 供 请 求 主机 使 用 。 要 能 够 响应 DHCPDISCOVER 报 文 ，DHCP 服 务 器 必须 
拥有 客户 端的 有 效 |P 配 置信 息 。DHCP 服 务 器 回复 的 DHCPOFFER 报 文 包 念 以 下 信息 : 


e 客户 端的 硬件 地 址 

e 提供 的 |P 地 址 

e SENT me 

e 租约 有 效 期 

e 服务 器 |D， 即 DHCP 服 务 器 的 IP 地 址 


客户 机 选择 IP 地 址 (DHCPREQUEST ) 


DHCP 客 户 端 选择 它 所 接收 到 的 第 一 个 DHCPOFFER 报 文 提供 的 |P 地 址 。 之 后 ， 它 把 这 一 信 
息 广播 至 网 络 。 该 报 文中 ， 窜 户 端 请 求 服务 器 提供 给 它 的 |P 地 址 。 这 是 因为 客户 端 可 能 收 到 
不 止 一 个 DHCP 服 务 器 发 送 的 offer。 通 过 广播 这 一 请 求 ， 客 户 端 告知 其 他 DHCP 服 务 器 不 会 再 
接受 其 他 offer。 为 了 进一步 确保 客户 端 接 受 的 服务 器 offer 没 有 疑义 ，DHCPREQUEST 报 文中 
还 包含 以 下 信息 : 


e 提供 所 接受 offer 的 服务 器 IP 地 址 
e 端 硬 件 地 址 
e 和 究 户 端 接 党 的 IP 地 址 


服务 器 确认 IP 租 约 (DHCPACK) 


DHCP 服 务 器 对 客户 端 作 出 响应 ， 将 IP 地址 分 配给 客户 端 。 之 后 ， 它 发 送 DHCPACK 确 认 信 息 
给 客户 端 。 该 信息 包含 IP 地 址 的 有 效 租约 以 及 其 他 配置 信息 。 


有 时， 在 客户 端 接收 服务 器 提供 的 租约 后 ，DHCP 租 约请 求 仍 可 能 不 成 功 。 可 能 有 以 下 几 种 情 
Du: 


o 由 于 客户 端 移动 至 其 他 子 网 ，IP 地 址 无 效 
e 客户 端 尝试 租 约 它 之 前 的 IP 地 址 但 该 I|P 地 址 不 再 可 用 


在 上 述 情 况 下 ， 服 务 器 会 发 送 一 条 不 成 功 信 息 DHCPNACK 。 收 到 DHCPNACK 的 客户 端 必须 
重新 开始 整个 DHCP 初 始 化 进程 。 也 就 是 说 ， 它 必须 发 送 另 一 个 DHCPDISCOVER 报 文 查找 新 
的 |P 地 址 。 


